webleads-tracker

Messagerie sécurisée pour l'envoi de lettre par Internet : lettre recommandée électronique et email sécurisé

Législation

Un service conforme au cadre législatif de la preuve !

Fondements juridiques : « L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». (article 1316-1 du code civil)

Le courrier certifié est valable à l’international, sous réserve de restrictions légales étrangères. La valeur juridique des courriers réglementés présentés sur ce site concerne exclusivement la France. Pour les autres pays, veuillez nous contacter ou prendre l’attache d’un conseil juridique.

Proposition de règlement du Parlement Européen et du Conseil sur l'identification électronique

Proposition de règlement du Parlement Européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.

(EXTRAITS)
Pour consulter l’intégralité du document, cliquez ici.

(...)

CHAPITRE I
DISPOSITIONS GÉNÉRALES

Article premier
Objet

1. Le présent règlement établit des règles applicables à l'identification électronique et aux services de confiance électroniques pour les transactions électroniques en vue d'assurer le bon fonctionnement du marché intérieur.
2. Le présent règlement pose les conditions dans lesquelles un État membre reconnaît et accepte les moyens d'identification électronique des personnes physiques et morales, qui relèvent d'un système d'identification électronique notifié d'un autre État membre.
3. Le présent règlement instaure un cadre juridique pour les signatures électroniques, les cachets électroniques, les horodatages électroniques, les documents électroniques, les services de fourniture électronique et l'authentification de sites Web.
4. Le présent règlement garantit que les services et produits de confiance qui y sont conformes sont autorisés à circuler librement au sein du marché intérieur.

Article 2
Champ d'application

1. Le présent règlement s'applique à l'identification électronique produite par les États membres, en leur nom ou sous leur responsabilité, et aux prestataires de services de confiance établis dans l'Union.
2. Le présent règlement ne s'applique pas à la fourniture de services de confiance électroniques sur la base d'accords volontaires régis par le droit privé.
3. Le présent règlement ne s'applique pas aux aspects relatifs à la conclusion et à la validité des contrats ou autres obligations juridiques lorsque des exigences d'ordre formel sont posées par le droit national ou de l'Union.

Article 3
Définitions

Aux fins du présent règlement, on entend 
1) «identification électronique», le processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant sans ambiguïté une personne physique ou morale;
2) «moyen d'identification électronique», un élément matériel ou immatériel contenant des données visées au point 1) du présent article et servant à accéder à des services en ligne visés à l'article 5;
3) «système d'identification électronique», un système pour l'identification électronique en vertu duquel des moyens d'identification électronique sont délivrés à des personnes visées au point 1 du présent article;
4) «authentification», un processus électronique qui permet de valider l'identification électronique d'une personne physique ou morale, ou l'origine et l'intégrité d'une donnée électronique;
5) «signataire», une personne physique qui crée une signature électronique;
6) «signature électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données électroniques et que le signataire utilise pour signer;
7) «signature électronique avancée», une signature électronique qui satisfait aux exigences suivantes:
(a) être liée uniquement au signataire;
(b) permettre d'identifier le signataire;
(c) avoir été créée à l'aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et
(d) être liée aux données auxquelles elle est associée de telle sorte que toute modification ultérieure des données soit détectable;
8) «signature électronique qualifiée», une signature électronique avancée qui est créée à l'aide d'un dispositif de création de signature électronique qualifié et qui repose sur un certificat qualifié de signature électronique;
9) «données de création de signature électronique», les données uniques qui sont utilisées par le signataire pour créer une signature électronique;
10) «certificat», une attestation électronique qui associe les données de validation d'une signature ou d'un cachet électronique à une personne physique ou une personne morale respectivement et confirme les données de cette personne;
11) «certificat qualifié de signature électronique», une attestation qui sert à étayer les signatures électroniques, qui est délivrée par un prestataire de service de confiance qualifié et qui satisfait aux exigences énoncées à l'annexe I;
12) «service de confiance», un service électronique consistant en la création, la vérification, la validation, le traitement et la conservation de signatures électroniques, de cachets électroniques, d'horodatages électroniques, de documents électroniques, de services de fourniture électronique, d'authentification de site Web et de certificats électroniques, y compris de certificats de signature électronique et de cachet électronique;
13) «service de confiance qualifié», un service de confiance qui satisfait aux exigences applicables prévues par le présent règlement;
14) «prestataire de service de confiance», une personne physique ou morale qui fournit un ou plusieurs services de confiance;
15) «prestataire de service de confiance qualifié», un prestataire de service de confiance qui satisfait aux exigences énoncées dans le présent règlement;
16) «produit électronique», un dispositif matériel ou logiciel – ou les composants correspondants de celui-ci – qui est destiné à être utilisé pour la fourniture de services de confiance;
17) «dispositif de création de signature électronique», un dispositif logiciel ou matériel configuré servant à créer une signature électronique;
18) «dispositif de création de signature électronique qualifié», un dispositif de création de signature électronique qui satisfait aux exigences énoncées à l'annexe II;
19) «créateur de cachet», une personne physique qui crée un cachet électronique;
20) «cachet électronique», des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données électroniques pour garantir l'origine et l'intégrité des données associées;
21) «cachet électronique avancé», un cachet électronique qui satisfait aux exigences suivantes:

(a) être lié uniquement au créateur du cachet;
(b) permettre d'identifier le créateur du cachet;
(c) avoir été créé à l'aide de données de création de cachet électronique que le créateur du cachet peut, avec un niveau de confiance élevé, utiliser sous son contrôle pour créer un cachet électronique; et
(d) être lié aux données auxquelles il est associé de telle sorte que toute modification ultérieure des données soit détectable;
22) «cachet électronique qualifié», un cachet électronique avancé qui est créé à l'aide d'un dispositif de création de cachet électronique qualifié et qui repose sur un certificat qualifié de cachet électronique;
23) «données de création de cachet électronique», les données uniques qui sont utilisées par le créateur du cachet électronique pour créer un cachet électronique;
24) «certificat qualifié de cachet électronique», une attestation qui sert à étayer un cachet électronique, qui est délivrée par un prestataire de service de confiance qualifié et qui satisfait aux exigences énoncées à l'annexe III;
25) «horodatage électronique», des données sous forme électronique qui associent d'autres données électroniques à un instant particulier et établissent la preuve que ces données existaient à cet instant;
26) «horodatage électronique qualifié», un horodatage électronique qui satisfait aux exigences énoncées à l'article 33;
27) «document électronique», un document dans un format électronique;
28) «service de fourniture électronique», un service qui permet de transmettre des données par voie électronique, qui fournit des preuves concernant le traitement des données transmises, y compris la preuve de leur envoi ou de leur réception, et qui protège les données transmises contre les risques de perte, de vol, d'altération ou de toute modification non autorisée;
29) «service de fourniture électronique qualifié», un service de fourniture électronique qui satisfait aux exigences énoncées à l'article 36;
30) «certificat qualifié d'authentification de site Web», une attestation qui permet d'authentifier un site Web et associe celui-ci à la personne à laquelle le certificat est délivré par un prestataire de service de confiance qualifié et qui satisfait aux exigences énoncées à l'annexe IV;
31) «données de validation», des données qui servent à valider une signature électronique ou un cachet électronique.

Article 4
Principe du marché intérieur

1. Il n'y a pas de restriction à la fourniture de services de confiance, sur le territoire d'un État membre, par un prestataire de service de confiance établi dans d'autres États membres pour des raisons qui relèvent des domaines couverts par le présent règlement.
2. Les produits qui sont conformes au présent règlement sont autorisés à circuler librement au sein du marché intérieur.

CHAPITRE II
Identification électronique

Article 5
Reconnaissance et acceptation mutuelles

Lorsqu'une identification électronique à l'aide d'un moyen d'identification électronique et d'une authentification est exigée en vertu de la législation nationale ou de pratiques administratives pour accéder à un service en ligne, tout moyen d'identification électronique délivré dans un autre État membre, qui relève d'un système figurant sur la liste publiée par la Commission conformément à la procédure visée à l'article 7, est reconnu et accepté aux fins de l'accès à ce service.

Article 6
Conditions de notification des systèmes d'identification électronique

1. Les systèmes d'identification électronique sont susceptibles de notification conformément à l'article 7 si toutes les conditions suivantes sont remplies:
(a) les moyens d'identification électronique sont délivrés par l'État membre notifiant ou en son nom ou sous sa responsabilité;
(b) les moyens d'identification électronique peuvent être utilisés pour accéder au moins aux services publics exigeant l'identification électronique dans l'État membre notifiant;
(c) l'État membre notifiant veille à ce que les données d'identification de la personne soient attribuées sans ambiguïté à la personne physique ou morale visée à l'article 3, point 1;
(d) l'État membre notifiant veille à ce qu'une possibilité d'authentification en ligne soit disponible à tout moment et gratuitement afin de permettre aux parties utilisatrices de valider les données d'identification personnelle reçues sous forme électronique. Les États membres n'imposent aucune exigence technique spécifique aux parties utilisatrices établies en dehors de leur territoire, qui envisagent de procéder à cette authentification. Lorsque le système d'identification notifié ou la possibilité d'authentification sont violés ou partiellement compromis, les États membres suspendent ou révoquent immédiatement le système d'identification notifié ou la possibilité d 'authentification ou les éléments compromis en cause et en informent les autres États membres et la Commission conformément à l'article 7;
(e) l'État membre notifiant est responsable:
i) de l'attribution univoque des données d'identification personnelle visées au point c); et
ii) de la possibilité d'authentification indiquée au point d).
2. Le point e) du paragraphe 1 est sans préjudice de la responsabilité des parties relativement à une transaction effectuée à l'aide de moyens d'identification électronique relevant du système notifié.

Article 7
Notification
1. Les États membres qui notifient un système d'identification électronique transmettent les informations suivantes à la Commission et lui communiquent toute modification ultérieure dans les meilleurs délais:
(a) description du système d'identification électronique notifié; autorités responsables du système d'identification électronique notifié;
(c) indication des personnes chargées de gérer l'enregistrement des identifiants personnels univoques;
(d) description de la possibilité d'authentification;
(e) dispositions concernant la suspension ou la révocation du système d'identification notifié, de la possibilité d'authentification ou des parties compromises en cause.
2. Six mois après l'entrée en vigueur du règlement, la Commission publie au Journal officiel de l'Union européenne la liste des systèmes d'identification électronique qui ont été notifiés conformément au paragraphe 1, ainsi que les informations essentielles à leur sujet.
3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle modifie la liste dans les trois mois qui suivent.
4. La Commission peut définir, au moyen d'actes d'exécution, les circonstances, les formats et procédures de la notification visée aux paragraphes 1 et 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 8
Coordination
1. Les États membres coopèrent en vue d'assurer l'interopérabilité des moyens d'identification électronique relevant d'un régime notifié et de renforcer leur sécurité.
2. La Commission arrête, au moyen d'actes d'exécution, les modalités nécessaires pour faciliter la coopération entre les États membres visée au paragraphe 1, en vue d'assurer un niveau élevé de confiance et de sécurité correspondant au degré de risque. Ces actes d'exécution concernent notamment l'échange d'informations, d'expériences et de bonnes pratiques en matière de systèmes d'identification électronique, l'évaluation par les pairs des systèmes d'identification électronique notifiés et l'examen, par les autorités compétentes des États membres, des nouveaux éléments pertinents dans le secteur de l'identification électronique. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.
3. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, concernant la fixation d'exigences techniques minimales visant à faciliter l'interopérabilité transnationale des moyens d'identification électronique.

CHAPITRE III
SERVICES DE CONFIANCE

Section 1
Dispositions générales

Article 9
Responsabilité

1. Un prestataire de service de confiance est responsable des dommages directs causés à toute personne physique ou morale en raison d'un manquement aux obligations énoncées à l'article 15, paragraphe 1, sauf s'il peut prouver qu'il n'a pas agi avec négligence.
2. Un prestataire de service de confiance qualifié est responsable des dommages directs causés à toute personne physique ou morale en raison d'un non-respect des exigences énoncées dans le présent règlement, notamment à l'article 19, sauf s'il peut prouver qu'il n'a pas agi avec négligence.

Article 10
Prestataires de services de confiance provenant de pays tiers

1. Les services de confiance qualifiés et les certificats qualifiés fournis par des prestataires de services de confiance qualifiés établis dans un pays tiers sont acceptés comme étant des services de confiance qualifiés et des certificats qualifiés fournis par des prestataires de services de confiance qualifiés établis sur le territoire de l'Union européenne si les services de confiance qualifiés ou les certificats qualifiés provenant du pays tiers sont reconnus en vertu d'un accord conclu entre l'Union et des pays tiers ou des organisations internationales conformément à l'article 218 du TFUE.
2. En ce qui concerne le paragraphe 1, ces accords garantissent que les exigences applicables aux services de confiance qualifiés et aux certificats qualifiés fournis par des prestataires de services de confiance qualifiés établis sur le territoire de l'Union européenne sont respectées par les prestataires de services de confiance dans les pays tiers ou par les organisations internationales, notamment pour ce qui est de la protection des données à caractère personnel, la sécurité et le contrôle.

Article 11
Traitement et analyse des données

1. Lorsqu'ils traitent des données à caractère personnel, les prestataires de services de confiance et les organes de contrôle veillent au traitement loyal et licite des données conformément à la directive 95/46/CE.
2. Les prestataires de services de confiance traitent les données à caractère personnel conformément à la directive 95/46/CE. Ce traitement est strictement limité aux données minimales nécessaires pour délivrer et tenir à jour un certificat ou pour fournir un service de confiance.
3. Les prestataires de services de confiance garantissent la confidentialité et l'intégrité des données relatives au bénéficiaire d'un service de confiance.
4. Sans préjudice des effets juridiques donnés aux pseudonymes en vertu du droit national, les
États membres ne peuvent empêcher les prestataires de services de confiance d'indiquer, dans les certificats de signature électronique, un pseudonyme à la place du nom du signataire.

Article 12
Accessibilité pour les personnes handicapées

Les services de confiance fournis, ainsi que les produits destinés à l'utilisateur final qui servent à fournir ces services, sont accessibles aux personnes handicapées dans la mesure du possible.

Section 2
Contrôle

Article 13
Organe de contrôle

1. Les États membres désignent un organe approprié établi sur leur territoire ou, moyennant accord mutuel, dans un autre État membre sous la responsabilité de l'État membre qui a procédé à la désignation. Les organes de contrôle sont investis de tous les pouvoirs de contrôle et d'enquête nécessaires à l'exercice de leurs tâches.
2. L'organe de contrôle est responsable de l'exécution des tâches suivantes:
(a) surveiller les prestataires de services de confiance établis sur le territoire de l'État membre qui a procédé à la désignation afin d'assurer qu'ils satisfont aux exigences énoncées à l'article 15;
(b) assurer le contrôle des prestataires de services de confiance qualifiés établis sur le territoire de l'État membre qui a procédé à la désignation ainsi que le contrôle des services de confiance qualifiés qu'ils fournissent afin d'assurer que ces prestataires et les services de confiance qualifiés qu'ils fournissent satisfont aux exigences applicables énoncées dans le présent règlement;
(c) veiller à ce que les informations et les données pertinentes visées à l'article 19, paragraphe 2, point g), et enregistrées par des prestataires de services de confiance qualifiés soient préservées et restent accessibles après que les activités d'un prestataire de service de confiance qualifié ont cessé, afin de garantir la continuité du service.
3. Chaque organe de contrôle soumet chaque année à la Commission et aux États membres, avant la fin du premier trimestre de l'année suivante, un rapport sur les activités de contrôle de la dernière année civile. Ce rapport comprend au moins:
(a) des informations sur ses activités de contrôle;
(b) un résumé des notifications d'atteinte à la sécurité reçues de prestataires de services de confiance, conformément à l'article 15, paragraphe 2; des statistiques sur le marché et l'utilisation des services de confiance qualifiés, y compris des informations sur les prestataires de services de confiance qualifiés eux mêmes, sur les services de confiance qualifiés qu'ils fournissent et sur les produits qu'ils utilisent, ainsi que la description générale de leurs clients.
4. Les États membres notifient à la Commission et aux autres États membres le nom et l'adresse de l'organisme de contrôle qu'ils ont désigné.
5. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition de procédures applicables aux tâches visées au paragraphe 2.
6. La Commission peut définir, au moyen d'actes d'exécution, les circonstances, les formats et procédures aux fins du rapport visé au paragraphe 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 14
Assistance mutuelle

1. Les organes de contrôle coopèrent en vue d'échanger des bonnes pratiques et, dans les meilleurs délais, de se communiquer toute information utile et de se prêter une assistance mutuelle afin que les activités puissent être exécutées de façon cohérente. L'assistance mutuelle couvre notamment les demandes d'informations et les mesures de contrôle, telles que les demandes de procéder à des inspections liées aux audits de sécurité visés aux articles 15,16 et 17.
2. Un organe de contrôle saisi d'une demande d'assistance ne peut refuser d'y donner suite, à moins:
(a) qu'il ne soit pas compétent pour traiter la demande; ou
(b) qu'il soit incompatible avec le présent règlement de donner suite à la demande.
3. Le cas échéant, les organes de contrôle peuvent mener des enquêtes conjointes faisant intervenir des membres des organes de contrôle d'autres États membres.
L'organe de contrôle de l'État membre dans lequel doit avoir lieu l'enquête peut, dans le respect de sa législation nationale, déléguer des missions d'enquête au personnel de l'organe de contrôle qui reçoit l'assistance. Ces compétences ne peuvent être exercées qu'en présence du personnel de l'organe de contrôle d'accueil et sous son autorité. Le personnel de l'organe de contrôle qui reçoit l'assistance est soumis au droit national de l'organe de contrôle d'accueil.
L'organe de contrôle d'accueil assume la responsabilité des actes de l'organe de contrôle qui reçoit l'assistance.
4. La Commission peut, au moyen d'actes d'exécution, préciser les formats et les procédures aux fins de l'assistance mutuelle prévue par le présent article. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 15
Exigences de sécurité applicables aux prestataires de services de confiance

1. Les prestataires de services de confiance qui sont établis sur le territoire de l'Union prennent les mesures techniques et organisationnelles adéquates pour gérer les risques liés à la sécurité des services de confiance qu'ils fournissent. Compte tenu de l'état de la technique, ces mesures garantissent que le niveau de sécurité est adapté au degré de risque. Des mesures sont notamment prises en vue de prévenir et de limiter les conséquences des incidents liés à la sécurité et d'informer les parties concernées des effets préjudiciables de tout incident.
Sans préjudice de l'article 16, paragraphe 1, tout prestataire de service de confiance peut soumettre à l'organe de contrôle le rapport d'un audit de sécurité effectué par un organisme indépendant reconnu afin de confirmer que les mesures de sécurité appropriées ont été prises.
2. Les prestataires de services de confiance notifient, sans retard indu et si possible dans un délai de vingt-quatre heures après s'en être aperçus, à l'organe de contrôle compétent, à l'organisme national compétent en matière de sécurité de l'information ainsi qu'à d'autres tiers concernés, tels que les autorités chargées de la protection des données, toute atteinte à la sécurité ou toute perte d'intégrité ayant une incidence importante sur le service de confiance fourni et sur les données à caractère personnel qui y sont liées.
Le cas échéant, notamment lorsqu'une atteinte à la sécurité ou une perte d'intégrité concerne plusieurs États membres, l'organe de contrôle concerné informe les organes de contrôle des autres États membres ainsi que l'Agence chargée de la sécurité des réseaux et de l'information
(ENISA).
L'organe de contrôle concerné peut également informer le public ou exiger du prestataire de service de confiance qu'il le fasse, dès lors qu'il constate qu'il est d'utilité publique de divulguer les faits.
3. Une fois par an, l'organe de contrôle présente à l'ENISA et à la Commission un résumé des notifications d'atteinte à la sécurité reçue de prestataires de services de confiance.
4. Afin de mettre en œœuvre les paragraphes 1 et 2, l'organe de contrôle compétent a le pouvoir de donner des instructions contraignantes aux prestataires de services de confiance.
5. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition plus précise des mesures visées au paragraphe 1.
6. La Commission peut définir, au moyen d'actes d'exécution, les circonstances, les formats et procédures, y compris les délais, aux fins des paragraphes 1 à 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 16
Contrôle des prestataires de services de confiance qualifiés

1. Les prestataires de services de confiance qualifiés font l'objet chaque année d'un audit effectué par un organisme indépendant reconnu aux fins de confirmer que les prestataires et les services de confiance qualifiés qu'ils fournissent remplissent les obligations énoncées dans le présent règlement, et transmettent le rapport de l'audit de sécurité à l'organe de contrôle.
2. Sans préjudice des dispositions du paragraphe 1, l'organe de contrôle peut à tout moment, de sa propre initiative ou à la demande de la Commission, soumettre les prestataires de services de confiance qualifiés à un audit aux fins de confirmer que les prestataires et les services de confiance qualifiés qu'ils fournissent remplissent toujours les obligations énoncées dans le présent règlement. L'organe de contrôle informe les autorités chargées de la protection des données des résultats de ses contrôles lorsqu'il apparaît que les règles en matière de protection des données à caractère personnel ont été violées.
3. L'organe de contrôle a le pouvoir de donner des instructions contraignantes aux prestataires de services de confiance qualifiés en vue de corriger tout manquement aux obligations constaté dans le rapport de l'audit de sécurité.
4. En ce qui concerne le paragraphe 3, si le prestataire de service de confiance qualifié ne corrige pas ce manquement dans un délai fixé par l'organe de contrôle, il perd son statut qualifié et il est informé par l'organe de contrôle que son statut sera modifié en conséquence dans les listes de confiance visées à l'article 18.
5. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition des conditions de reconnaissance de l'organisme indépendant chargé d'effectuer l'audit de sécurité visé au paragraphe 1 du présent article, à l'article 15, paragraphe 1, et à l'article 17, paragraphe 1.
6. La Commission peut définir, au moyen d'actes d'exécution, les circonstances, les procédures, et les formats applicables aux fins des paragraphes 1, 2 et 4. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 17
Ouverture d'un service de confiance qualifié

1. Les prestataires de services de confiance qualifiés notifient à l'organe de contrôle leur intention de commencer à offrir un service de confiance qualifié et lui présentent un rapport de l'audit de sécurité effectué par un organisme indépendant reconnu, conformément à l'article 16, paragraphe 1. Les prestataires de services de confiance qualifiés peuvent commencer à fournir le service de confiance qualifié après avoir soumis la notification et le rapport de l'audit de sécurité à l'organe de contrôle.
2. Une fois que les documents utiles ont été présentés à l'organe de contrôle conformément au paragraphe 1, les prestataires de services de confiance qualifiés sont inscrits sur les listes de confiance visées à l'article 18, mentionnant que la notification a été introduite.
3. L'organe de contrôle vérifie que le prestataire de service de confiance qualifié et les services de confiance qualifiés qu'il fournit respectent les exigences du règlement.
Si la vérification est concluante, l'organe de contrôle indique le statut qualifié des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu'ils fournissent sur les listes de confiance, dans un délai d'un mois à compter de la notification effectuée conformément au paragraphe 1.
Si la vérification n'est pas terminée dans un délai d'un mois, l'organe de contrôle en informe le prestataire de service de confiance qualifié en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.
4. Un service de confiance qualifié ayant fait l'objet de la notification visée au paragraphe 1 ne peut être refusé pour l'accomplissement d'une procédure ou d'une formalité administrative par l'organisme public concerné au motif qu'il ne figure pas sur les listes visées au paragraphe 3.
5. La Commission peut définir, au moyen d'actes d'exécution, les circonstances, les formats et les procédures applicables aux fins des paragraphes 1, 2 et 3. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 18
Listes de confiance

1. Chaque État membre établit, tient à jour et publie des listes de confiance contenant des informations relatives aux prestataires de services de confiance qualifiés pour lesquels il est compétent, ainsi que des informations relatives aux services de confiance qualifiés qu'ils fournissent.
2. Les États membres établissent, tiennent à jour et publient, de façon sécurisée et sous une forme adaptée au traitement automatique, les listes de confiance visées au paragraphe 1 portant une signature électronique ou un cachet électronique.
3. Les États membres communiquent à la Commission, sans retard indu, les informations relatives à l'organisme chargé d'établir, de tenir à jour et de publier les listes nationales de confiance, ainsi que des détails précisant où ces listes sont publiées, indiquant le certificat utilisé pour apposer la signature électronique ou le cachet électronique et signalant les modifications apportées à ces listes.
4. La Commission met à la disposition du public, par l'intermédiaire d'un canal sécurisé, les informations visées au paragraphe 3 sous une forme adaptée au traitement automatique et portant une signature électronique ou un cachet électronique.
5. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en qui concerne la définition des informations visées au paragraphe 1.
6. La Commission peut définir, au moyen d'actes d'exécution, les spécifications techniques et les formats applicables aux listes de confiance aux fins des paragraphes 1 à 4. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 19
Exigences applicables aux prestataires de services de confiance qualifiés

1. Lorsqu'un prestataire de service de confiance qualifié délivre un certificat qualifié, il vérifie, par des moyens appropriés et conformément au droit national, l'identité et, le cas échéant, les qualités spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié.
Ces informations sont vérifiées par le prestataire de service de confiance qualifié ou par un tiers agréé agissant sous sa responsabilité: lorsque la personne physique ou un mandataire de la personne morale se présente en personne, ou
(b) à distance, à l'aide de moyens d'identification électronique relevant d'un système notifié délivrés en conformité avec le point a).
2. Les prestataires de services de confiance qualifiés qui fournissent des services de confiance qualifiés:
(a) emploient du personnel qui possède l'expertise, l'expérience et les qualifications nécessaires, applique des procédures administratives et de gestion correspondant à des normes européennes ou internationales et a reçu une formation appropriée concernant les règles en matière de sécurité et de protection des données à caractère personnel;
(b) endossent la responsabilité des dommages en maintenant des ressources financières suffisantes ou en ayant un système d'assurance responsabilité approprié;
(c) avant d'établir une relation contractuelle, informent toute personne désireuse d'utiliser un service de confiance qualifié des conditions précises relatives à l'utilisation de ce service;
(d) utilisent des systèmes et des produits fiables qui sont protégés contre les modifications et qui assurent la sécurité technique et la fiabilité du processus qu'ils prennent en charge;
(e) utilisent des systèmes fiables pour stocker les données qui leur sont fournies, sous une forme vérifiable garantissant que: les données ne sont publiquement disponibles pour des recherches qu'avec le consentement de la personne pour laquelle elles ont été publiées, seules des personnes autorisées peuvent introduire et modifier les données, l'authenticité des informations peut être vérifiée;
(f) prennent des mesures contre la falsification et le vol de données;
(g) enregistrent pour une durée appropriée toutes les informations pertinentes concernant les données publiées et reçues par le prestataire de service de confiance qualifié, aux fins notamment de pouvoir fournir des preuves en justice. Ces enregistrements peuvent être effectués par voie électronique;
(h) ont un plan actualisé en cas de résiliation afin d'assurer la continuité du service conformément aux dispositions formulées par l'organe de contrôle en vertu de l'article 13, paragraphe 2, point c);
(i) assurent le traitement licite des données à caractère personnel conformément à l'article 11.
3. Les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés enregistrent la révocation d'un certificat dans leur base de données relative aux certificats dans les dix minutes qui suivent la prise d'effet de cette révocation.
4. En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie utilisatrice des informations sur la validité ou la révocation des certificats qualifiés qu'ils ont délivrés. Ces informations sont disponibles à tout moment pour chaque certificat au moins, de manière automatique, fiable, gratuite et efficace.
5. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables aux systèmes et produits fiables. Les systèmes et les produits fiables sont présumés satisfaire aux exigences énoncées à l'article 19 lorsqu'ils respectent ces normes.
Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Section 3
Signature électronique

Article 20
Effets juridiques et acceptation des signatures électroniques

1. L'efficacité juridique et la recevabilité comme preuve en justice ne peuvent être refusées à une signature électronique au seul motif qu'elle se présente sous une forme électronique.
2. L'effet juridique d'une signature électronique qualifiée est équivalent à celui d'une signature manuscrite.
3. Les signatures électroniques qualifiées sont reconnues et acceptées dans tous les États membres.
4. Si une signature électronique offrant un niveau de garantie de sécurité inférieur à celui de la signature électronique qualifiée est requise, dans le cas notamment où un État membre l'exige pour l'accès à un service en ligne offert par un organisme du secteur public sur la base d'une évaluation appropriée des risques liés à un tel service, toutes les signatures électroniques correspondant au moins au même niveau de garantie de sécurité sont reconnues et acceptées.
5. Les États membres n'exigent pas, pour l'accès transnational à un service en ligne offert par un organisme du secteur public, de signature électronique présentant un niveau de garantie de sécurité supérieur à celui d'une signature électronique qualifiée.
6. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition des différents niveaux de sécurité des signatures électroniques
visés au paragraphe 4.
7. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables aux niveaux de sécurité des signatures électroniques. Une signature électronique est présumée garantir le niveau de sécurité défini dans un acte délégué adopté en vertu du paragraphe 6 lorsqu'elle respecte ces normes. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Article 21
Certificats qualifiés de signature électronique

1. Les certificats qualifiés de signature électronique satisfont aux exigences énoncées à l'annexe I.
2. Les certificats qualifiés de signature électronique ne font l'objet d'aucune exigence obligatoire allant au-delà des exigences énoncées à l'annexe I.
3. Si un certificat qualifié de signature électronique a été révoqué après la première activation, il perd sa validité et un renouvellement de sa validité ne peut en aucun cas le faire recouvrer son statut antérieur.
4. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition plus précise des exigences énoncées à l'annexe I.
5. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables aux certificats qualifiés de signature électronique. Un certificat qualifié de signature électronique est présumé satisfaire aux exigences énoncées à l'annexe I lorsqu'il respecte ces normes. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Article 22
Exigences applicables aux dispositifs de création de signature électronique qualifiés

1. Les dispositifs de création de signature électronique qualifiés respectent les exigences énoncées à l'annexe II.
2. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables aux dispositifs de création de signature électronique qualifiés. Un dispositif de création de signature électronique qualifié est présumé satisfaire aux exigences énoncées à l'annexe II lorsqu'il respecte ces normes. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Article 23
Certification des dispositifs de création de signature électronique qualifiés

1. Les dispositifs de création de signature électronique qualifiés peuvent être certifiés par les organismes publics ou privés compétents désignés par les États membres, à condition d'avoir fait l'objet d'un processus d'évaluation de la sécurité conformément à l'une des normes relatives à l'évaluation de la sécurité des produits informatiques figurant sur une liste qui sera établie par la Commission au moyen d'actes d'exécution. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne
2. Les États membres notifient à la Commission et aux autres États membres le nom et l'adresse de l'organisme public ou privé, visé au paragraphe 1, qu'ils ont désigné.
3. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition de critères spécifiques que doivent respecter les organismes désignés visés au paragraphe 1.

Article 24
Publication d'une liste des dispositifs de création de signature électronique qualifiés qui sont certifiés

1. Les États membres notifient à la Commission, sans retard indu, les dispositifs de création de signature électronique qualifiés qui ont été certifiés par les organismes visés à l'article 23.
Ils notifient également à la Commission, sans retard indu, les dispositifs de création de signature électronique qui ne seraient plus certifiés.
2. Sur la base des informations reçues, la Commission établit, publie et met à jour une liste des dispositifs de création de signature électronique qualifiés qui sont certifiés.
3. La Commission peut définir, au moyen d'actes d'exécution, les circonstances, les formats et les procédures applicables aux fins du paragraphe 1. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2.

Article 25
Exigences applicables à la validation des signatures électroniques qualifiées

1. Une signature électronique qualifiée est considérée comme valable s'il peut être établi avec une grande certitude qu'au moment de la signature:
(a) le certificat sur lequel repose la signature est un certificat qualifié de signature électronique conforme aux dispositions prévues à l'annexe I;
(b) le certificat qualifié requis est authentique et valable;
(c) les données de validation de la signature correspondent aux données communiquées à la partie utilisatrice;
(d) l'ensemble de données représentant le signataire sans ambiguïté est correctement fourni à la partie utilisatrice;
(e) l'utilisation d'un pseudonyme est clairement indiquée à la partie utilisatrice, si tel est le cas;
(f) la signature électronique a été créée par un dispositif de création de signature électronique qualifié;
(g) l'intégrité des données signées n'a pas été compromise;
(h) les exigences prévues à l'article 3, point 7, sont satisfaites; le système utilisé pour valider la signature fournit à la partie utilisatrice le résultat correct du processus de validation et permet à celle-ci de détecter tout problème pertinent relatif à la sécurité.
2. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition plus précise des exigences énoncées au paragraphe 1.
3. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables à la validation des signatures électroniques qualifiées. La validation des signatures électroniques qualifiées est présumée satisfaire aux exigences énoncées au paragraphe 1 lorsqu'elle respecte ces normes. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Article 26
Service de validation qualifié des signatures électroniques qualifiées

1. Un prestataire de service de confiance qualifié fournit un service de validation qualifié des signatures électroniques qualifiées lorsqu'il:
(a) fournit une validation en conformité avec les dispositions de l'article 25, paragraphe 1, et
(b) permet aux parties utilisatrices de recevoir le résultat du processus de validation d'une manière automatisée, fiable, efficace et portant la signature électronique avancée ou le cachet électronique avancé du prestataire qui fournit le service de validation qualifié.
2. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables au service de validation qualifié visé au paragraphe 1. Le service de validation des signatures électroniques qualifiées est présumé satisfaire aux exigences énoncées au paragraphe 1, point b), lorsqu'il respecte ces normes. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Article 27
Conservation des signatures électroniques qualifiées

1. Un service de conservation des signatures électroniques qualifiées est fourni par un prestataire de service de confiance qualifié qui utilise des procédures et des technologies permettant d'étendre la fiabilité des données de validation des signatures électroniques qualifiées au-delà de la période de validité technologique.
2. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition plus précise des exigences énoncées au paragraphe 1.
3. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables à la conservation des signatures électroniques qualifiées. La conservation des signatures électroniques qualifiées est présumée satisfaire aux exigences énoncées au paragraphe 1 lorsqu'elle respecte ces normes. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Section 4
Cachets électroniques

Article 28
Effets juridiques des cachets électroniques

1. L'efficacité juridique et la recevabilité comme preuve en justice ne peuvent être refusées à un cachet électronique au seul motif qu'il se présente sous une forme électronique.
2. Un cachet électronique qualifié bénéficie d'une présomption légale quant à la garantie de l'origine et de l'intégrité des données auxquelles il est lié.
3. Un cachet électronique qualifié est reconnu et accepté dans tous les États membres.
4. Si un cachet électronique offrant un niveau de garantie de sécurité inférieur à celui du cachet électronique qualifié est requis, dans le cas notamment où un État membre l'exige pour l'accès à un service en ligne offert par un organisme du secteur public sur la base d'une évaluation appropriée des risques liés à un tel service, tous les cachets électroniques correspondant au moins au même niveau de garantie de sécurité sont reconnus et acceptés.
5. Les États membres n'exigent pas, pour l'accès à un service en ligne offert par un organisme du secteur public, de cachet électronique présentant un niveau de garantie de sécurité supérieur à celui des cachets électroniques qualifiés.
6. La Commission est habilitée à adopter des actes délégués, conformément à l'article 38, en ce qui concerne la définition des différents niveaux de garantie de sécurité des cachets électroniques visés au paragraphe 4.
7. La Commission peut, au moyen d'actes d'exécution, déterminer les numéros de référence des normes applicables aux niveaux de garantie de sécurité des cachets électroniques. Un cachet électronique est présumé garantir le niveau de sécurité défini dans un acte délégué adopté en vertu du paragraphe 6 lorsqu'il respecte ces normes. Ces actes d'exécution sont adoptés conformément à la procédure d'examen visée à l'article 39, paragraphe 2. La Commission publie ces mesures au Journal officiel de l'Union européenne.

Pour consulter l’intégralité du document, cliquez ici.