Règlement32024R2980
Règlement d’exécution (UE) 2024/2980 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil en ce qui concerne les notifications relatives à l’écosystème des portefeuilles européens d’identité numérique transmises à la Commission
| CELEX | 32024R2980 |
| Type | Règlement |
| Date | jeudi 28 novembre 2024 |
Résumé IA
Ce règlement d'exécution établit les modalités pratiques de notification à la Commission européenne concernant l'écosystème des portefeuilles européens d'identité numérique, conformément au règlement eIDAS. Il précise les procédures, les formats et les délais que les États membres doivent respecter pour notifier la certification, l'émission et la gestion de ces portefeuilles. Pour un professionnel du droit français, ce texte est essentiel pour comprendre les obligations procédurales liées au déploiement de l'identité numérique européenne.
Texte intégral
 | Journal officiel | FR Série L |
| 2024/2980 | 4.12.2024 |
RÈGLEMENT D’EXÉCUTION (UE) 2024/2980 DE LA COMMISSION
du 28 novembre 2024
portant modalités d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil en ce qui concerne les notifications relatives à l’écosystème des portefeuilles européens d’identité numérique transmises à la Commission
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 5 bis, paragraphe 23,
considérant ce qui suit:
| 1) | Le cadre européen relatif à une identité numérique établi par le règlement (UE) no 910/2014 est un élément essentiel pour la mise en place d’un écosystème d’identité numérique sécurisé et interopérable dans l’ensemble de l’Union. Avec pour pierre angulaire les portefeuilles européens d’identité numérique (ci-après les «portefeuilles»), il vise à faciliter l’accès aux services dans l’ensemble des États membres, tout en garantissant la protection des données à caractère personnel et le respect de la vie privée. |
| 2) | Le règlement (UE) 2016/679 du Parlement européen et du Conseil (2) ou le règlement (UE) 2018/1725 du Parlement européen et du Conseil (3) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (4) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement. |
| 3) | L’article 5 bis, paragraphe 23, du règlement (UE) no 910/2014 charge la Commission d’établir, au besoin, les spécifications et les procédures applicables. À cette fin, quatre règlements d’exécution ont été prévus en ce qui concerne les protocoles et les interfaces: règlement d’exécution (UE) 2024/2982 de la Commission (5), l’intégrité et les fonctionnalités essentielles: règlement d’exécution (UE) 2024/2979 de la Commission (6), les données d’identification personnelle et les attestations électroniques d’attributs: règlement d’exécution (UE) 2024/2977 de la Commission (7), ainsi que les notifications à la Commission: règlement d’exécution (UE) 2024/2980 de la Commission (8). Le présent règlement fixe les exigences applicables aux notifications par les États membres des entités de confiance qui garantissent la fiabilité du cadre européen relatif à une identité numérique. |
| 4) | La Commission évalue régulièrement les nouvelles technologies, pratiques, normes ou spécifications techniques. Afin d’atteindre le niveau d’harmonisation le plus élevé possible entre les États membres en ce qui concerne le développement et la certification des portefeuilles, les spécifications techniques énoncées dans le présent règlement s’appuient sur les travaux menés sur la base de la recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (9), et en particulier sur l’architecture et le cadre de référence. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (10), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement d’exécution, afin de le maintenir en adéquation avec les évolutions générales, l’architecture et le cadre de référence et de suivre les meilleures pratiques sur le marché intérieur. |
| 5) | Afin d’atteindre l’objectif consistant à mettre en place des sources d’information transparentes et fiables permettant d’authentifier les entités dans l’écosystème des portefeuilles européens d’identité numérique telles que les fournisseurs de portefeuille, les fournisseurs de données d’identification personnelle et les parties utilisatrices de portefeuille, les États membres devraient notifier les informations requises au moyen du système électronique fourni par la Commission. Conformément à l’approche adoptée dans la décision d’exécution (UE) 2015/1984 de la Commission (11) définissant les circonstances, les formats et les procédures pour les notifications concernant les schémas d’identification électronique applicables aux moyens d’identification électronique, les États membres devraient fournir les informations à la Commission en anglais. Ainsi, les descriptions des schémas d’identification électronique seront disponibles en anglais pour tous ces schémas, qu’ils soient liés à des moyens d’identification électronique ou à des portefeuilles. |
| 6) | Aux fins du même objectif consistant à mettre en place des sources d’information permettant d’authentifier les entités dans l’écosystème des portefeuilles européens d’identité numérique, la Commission devrait créer une infrastructure permettant de mettre les informations à la disposition du public de manière sûre, lisible par l’être humain, claire et facilement accessible, ainsi que sous une forme portant une signature électronique ou un cachet électronique adaptée au traitement automatisé, y compris en proposant une interface de programmation d’application. |
| 7) | Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu son avis le 30 septembre 2024. |
| 8) | Les mesures prévues par le présent règlement sont conformes à l’avis du comité visé à l’article 48 du règlement (UE) no 910/2014, |
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet et champ d’application
Le présent règlement impose des obligations en ce qui concerne les notifications qui permettent la validation:
| 1) | des registres électroniques utilisés par un État membre pour publier des informations sur les parties utilisatrices de portefeuille enregistrées dans cet État membre conformément à l’article 5 ter, paragraphe 5, du règlement (UE) no 910/2014 (ci-après les «registres des parties utilisatrices de portefeuille»), l’emplacement les registres des parties utilisatrices de portefeuille et l’identification des bureaux d’enregistrement des parties utilisatrices de portefeuille; |
| 2) | de l’identité des parties utilisatrices de portefeuille enregistrées; |
| 3) | de l’authenticité et de la validité des unités de portefeuille; |
| 4) | de l’identification des fournisseurs de portefeuille; |
| 5) | de l’authenticité des données d’identification personnelle; |
| 6) | de l’identification des fournisseurs de données d’identification personnelle. Le présent règlement doit être mis à jour régulièrement pour tenir compte de l’évolution des technologies et des normes ainsi que des travaux réalisés sur la base de la recommandation (UE) 2021/946, et en particulier l’architecture et le cadre de référence. |
Article 2
Définitions
Aux fins du présent règlement, on entend par:
| 1) | «fournisseur de portefeuille»: une personne physique ou morale qui fournit des solutions de portefeuille; |
| 2) | «fournisseur de données d’identification personnelle»: une personne physique ou morale chargée de délivrer et de révoquer les données d’identification personnelle et de veiller à ce que les données d’identification personnelle d’un utilisateur soient liées de manière cryptographique à une unité de portefeuille; |
| 3) | «partie utilisatrice de portefeuille»: une partie utilisatrice qui a l’intention de se fier à des unités de portefeuille pour la fourniture de services publics ou privés au moyen d’une interaction numérique; |
| 4) | «registre des parties utilisatrices de portefeuille»: un registre électronique utilisé par un État membre pour mettre à la disposition du public les informations relatives aux parties utilisatrices de portefeuille enregistrées dans cet État membre, conformément à l’article 5 ter, paragraphe 5, du règlement (UE) no 910/2014; |
| 5) | «bureau d’enregistrement des parties utilisatrices de portefeuille»: l’organisme désigné par un État membre et chargé de dresser et de tenir à jour la liste des parties utilisatrices de portefeuille enregistrées qui sont établies sur le territoire de cet État; |
| 6) | «unité de portefeuille»: une configuration unique d’une solution de portefeuille comprenant des instances de portefeuille, des applications cryptographiques sécurisées de portefeuille et des dispositifs cryptographiques sécurisés de portefeuille, fournie par un fournisseur de portefeuille à un utilisateur de portefeuille donné; |
| 7) | «solution de portefeuille»: une combinaison de logiciels, de matériel, de services, de paramètres et de configurations, y compris des instances de portefeuille, une ou plusieurs applications cryptographiques sécurisées de portefeuille et un ou plusieurs dispositifs cryptographiques sécurisés de portefeuille; |
| 8) | «instance de portefeuille»: l’application installée et configurée sur l’appareil ou dans l’environnement d’un utilisateur de portefeuille, qui fait partie d’une unité de portefeuille et dont l’utilisateur de portefeuille se sert pour interagir avec l’unité de portefeuille; |
| 9) | «application cryptographique sécurisée de portefeuille»: une application qui gère des actifs critiques en étant liée aux fonctions cryptographiques et non cryptographiques fournies par le dispositif cryptographique sécurisé de portefeuille et en utilisant ces fonctions; |
| 10) | «dispositif cryptographique sécurisé de portefeuille»: un dispositif inviolable qui fournit un environnement lié à l’application cryptographique sécurisée de portefeuille et utilisé par celle-ci pour protéger les actifs critiques et fournir des fonctions cryptographiques pour l’exécution sécurisée d’opérations critiques; |
| 11) | «actifs critiques»: les actifs se trouvant à l’intérieur d’une unité de portefeuille ou en rapport avec celle-ci et dont l’importance est tellement exceptionnelle que la capacité de se fier à l’unité de portefeuille serait très sérieusement affaiblie si leur disponibilité, leur confidentialité ou leur intégrité étaient compromises; |
| 12) | «utilisateur de portefeuille»: un utilisateur qui contrôle l’unité de portefeuille; |
| 13) | «fournisseur de certificats d’accès de partie utilisatrice de portefeuille»: une personne physique ou morale mandatée par un État membre pour délivrer des certificats d’accès de partie utilisatrice aux parties utilisatrices de portefeuille enregistrées dans cet État membre; |
| 14) | «certificat d’accès de partie utilisatrice de portefeuille»: un certificat de cachet électronique ou de signature électronique qui authentifie et valide la partie utilisatrice de portefeuille et qui est délivré par un fournisseur de certificats d’accès de partie utilisatrice de portefeuille. |
Article 3
Système de notification
1. Au plus tard douze mois après la publication du présent règlement au Journal officiel de l’Union européenne, la Commission met à la disposition des États membres un système de notification électronique sécurisé leur permettant de notifier les informations concernant les organismes et les mécanismes énumérés à l’article 5 bis, paragraphe 18, du règlement (UE) no 910/2014.
2. Le système de notification électronique sécurisé est conforme aux exigences techniques énoncées à l’annexe I.
Article 4
Notifications par les États membres
1. Les États membres transmettent, au moyen du système de notification électronique sécurisé visé à l’article 3, paragraphe 1, au moins les informations énumérées à l’annexe II.
2. Les États membres transmettent les notifications au moins en anglais. Les États membres ne sont pas tenus de faire traduire les documents à l’appui des notifications si cela engendre une charge administrative ou financière déraisonnable.
3. La Commission peut demander aux États membres des informations ou des précisions supplémentaires afin de vérifier l’exhaustivité et la cohérence des informations notifiées.
Article 5
Publication par la Commission
1. La Commission établit, tient à jour et publie une liste reprenant les informations notifiées par les États membres concernant les bureaux d’enregistrement des parties utilisatrices de portefeuille et les registres des parties utilisatrices de portefeuille, telles qu’elles sont énumérées à l’annexe II, section 1.
2. La Commission établit, tient à jour et publie une liste reprenant les informations notifiées par les États membres concernant les fournisseurs de portefeuille, les fournisseurs de données d’identification personnelle et les fournisseurs de certificats d’accès de partie utilisatrice de portefeuille, telles qu’elles sont énumérées à l’annexe II, sections 2, 3 et 4.
3. La Commission veille à ce que les listes visées aux paragraphes 1 et 2 du présent article soient accessibles:
| a) | tant sous une forme portant une signature électronique ou un cachet électronique adaptée au traitement automatisé que sur un site web lisible par l’être humain et disponible au moins en anglais; |
| b) | sans qu’il soit nécessaire de s’inscrire ou de s’authentifier pour obtenir ou consulter les listes; |
| c) | en toute sécurité grâce au protocole de chiffrement de la couche de transport le plus récent. |
4. Outre les listes visées aux paragraphes 1 et 2, la Commission publie:
| a) | les spécifications techniques qu’elle utilise pour structurer les listes; |
| b) | l’adresse URL à laquelle sont publiées les listes; |
| c) | les certificats à utiliser pour vérifier la signature ou le cachet des listes; |
| d) | les informations sur les mécanismes utilisés pour valider les modifications apportées à l’adresse mentionnée au point b) ou aux certificats mentionnés au point c). |
Article 6
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 28 novembre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(4) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(5) Règlement d’exécution (UE) 2024/2982 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil en ce qui concerne les protocoles et les interfaces que doit prendre en charge le cadre européen relatif à une identité numérique (JO L, 2024/2982, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2982/oj).
(6) Règlement d’exécution (UE) 2024/2979 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil en ce qui concerne l’intégrité et les fonctionnalités essentielles des portefeuilles européens d’identité numérique (JO L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).
(7) Règlement d’exécution (UE) 2024/2977 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil en ce qui concerne les données d’identification personnelle et les attestations électroniques d’attributs délivrées aux portefeuilles européens d’identité numérique (JO L, 2024/2977, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2977/oj).
(8) Règlement d’exécution (UE) 2024/2980 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil en ce qui concerne les notifications relatives à l’écosystème des portefeuilles européens d’identité numérique transmises à la Commission (JO L, 2024/2980, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj).
(9) JO L 210 du 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(10) Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) no 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/eli/reg/2024/1183/oj).
(11) Décision d’exécution (UE) 2015/1984 de la Commission du 3 novembre 2015 définissant les circonstances, les formats et les procédures pour les notifications visés à l’article 9, paragraphe 5, du règlement (UE) no 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 289 du 5.11.2015, p. 18, ELI: http://data.europa.eu/eli/dec_impl/2015/1984/oj).
ANNEXE I
EXIGENCES APPLICABLES AU SYSTÈME DE NOTIFICATION DE LA COMMISSION
1.
L’interface du système de notification électronique sécurisé est disponible au moins en anglais.
2.
Le système de notification électronique sécurisé fourni par la Commission est conçu de manière à:| a) | permettre aux États membres de ne soumettre les mêmes informations qu’une seule fois, en réutilisant, le cas échéant, des informations déjà transmises; |
| b) | permettre la transmission d’informations tant au moyen d’interfaces lisibles par la machine que d’interfaces lisibles par l’être humain; |
| c) | permettre des contrôles d’accès appropriés et une gestion des contrôles d’accès, en déléguant aux États membres le pouvoir d’accorder un accès aux représentants compétents en ce qui concerne les notifications; |
| d) | permettre les notifications des informations énumérées à l’annexe II; |
| e) | permettre aux États membres de consulter les informations notifiées; |
| f) | accuser réception des notifications d’informations par voie électronique; |
| g) | conserver un historique de toutes les modifications apportées aux informations notifiées et permettre aux États membres de le consulter. |
ANNEXE II
EXIGENCES APPLICABLES AUX NOTIFICATIONS PAR LES ÉTATS MEMBRES
1. Notifications d’informations concernant les bureaux d’enregistrement et les registres
| 1) | Les États membres transmettent à la Commission les informations suivantes concernant leurs bureaux d’enregistrement et leurs registres:
|
| 2) | Les informations visées au point 1) sont transmises pour chaque registre et chaque bureau d’enregistrement. |
2. Notifications d’informations concernant les fournisseurs de portefeuille et les mécanismes permettant de valider l’authenticité et la validité des unités de portefeuille
| 1) | Les États membres transmettent à la Commission les informations suivantes concernant les fournisseurs de portefeuille:
|
| 2) | Les informations visées au point 1) sont transmises pour chaque fournisseur. |
3. Notifications d’informations concernant les fournisseurs de données d’identification personnelle et les mécanismes permettant d’authentifier et de valider les données d’identification personnelle
| 1) | Les États membres transmettent à la Commission les informations suivantes concernant les fournisseurs de données d’identification personnelle:
|
| 2) | Les informations visées au point 1) sont transmises pour chaque fournisseur. |
4. Notifications d’informations concernant les fournisseurs de certificats d’accès de partie utilisatrice de portefeuille
| 1) | Les États membres transmettent à la Commission les informations suivantes concernant les fournisseurs de certificats d’accès de partie utilisatrice de portefeuille:
|
| 2) | Les informations visées au point 1) sont transmises pour chaque fournisseur de certificats d’accès de partie utilisatrice de portefeuille. |
ELI: http://data.europa.eu/eli/reg_impl/2024/2980/oj
ISSN 1977-0693 (electronic edition)
Documents similaires
Règlement32023R2745R(01)
Rectificatif au règlement d’exécution (UE) 2023/2745 de la Commission du 8 décembre 2023 portant modalités d’application du règlement (UE) 2022/2379 du Parlement européen et du Conseil en ce qui concerne les statistiques sur la production animale (JO L, 2023/90838, 11.12.2023)
31/12/2024
Règlement32023R0137R(04)
Règlement (UE) 2023/137
31/12/2024
Règlement32024R2733R(01)
Règlement (UE) 2024/2733
27/12/2024
Règlement32022R1092R(01)
Règlement (UE) 2022/1092
23/12/2024