Transactions électroniques au sein du marché intérieur: identification électronique et services de confiance

2012/0146(COD)

OBJECTIF : susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur et garantir la reconnaissance juridique transnationale de l'identification, de l'authentification et des signatures électroniques et des services de confiance associés.

ACTE LÉGISLATIF : Règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

CONTENU : le nouveau règlement prévoit une base commune pour assurer des interactions électroniques sûres entre les entreprises, les citoyens et les services publics. Il vise à accroître l'efficacité des services publics et privés en ligne, des activités économiques en ligne et du commerce électronique dans l'UE et à accroître la confiance dans les transactions électroniques au sein du marché intérieur.

Pour ce faire, le règlement:

  • fixe les conditions dans lesquelles un État membre reconnaît les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un schéma d’identification électronique notifié d’un autre État membre;
  • établit des règles applicables aux services de confiance, en particulier pour les transactions électroniques; et
  • instaure un cadre juridique pour les services de signatures électroniques, de cachets électroniques, d’horodatages électroniques, de documents électroniques, d’envoi recommandé électronique et les services de certificats pour l’authentification de site internet.

Reconnaissance mutuelle de l'identification électronique : les nouvelles règles exigent que les États membres reconnaissent, dans certaines conditions, les moyens d'identification électronique des personnes physiques et morales qui relèvent d'un système d'identification électronique d'un autre État membre ayant été notifié à la Commission. Il appartient aux États membres de décider s'ils souhaitent notifier l'ensemble, une partie, où aucun des systèmes d'identification électronique utilisés au niveau national pour accéder au moins aux services publics en ligne ou à des services spécifiques.

Ces règles ne couvrent que les aspects transfrontières de l'identification électronique, la création de moyens d'identification électronique demeurant une prérogative nationale.

Conditions de la reconnaissance mutuelle : le principe de la reconnaissance mutuelle devrait s’appliquer si le schéma d’identification électronique de l’État membre notifiant remplit les conditions de notification et si la notification a été publiée au Journal officiel de l’Union européenne.

L’obligation de reconnaître des moyens d’identification électronique ne devrait s’appliquer que lorsque l’organisme du secteur public en question utilise le niveau de garantie «substantiel» ou «élevé» en rapport avec l’accès audit service en ligne.

Le règlement prévoit également la responsabilité de l’État membre notifiant, de la partie qui délivre le moyen d’identification électronique et de la partie qui gère la procédure d’authentification en cas de dommage causé intentionnellement ou par négligence à toute personne physique ou morale en raison d’un manquement aux obligations pertinentes du règlement.

En cas d’atteinte à la sécurité, l’État membre notifiant devrait suspendre ou révoquer, immédiatement, l’authentification transfrontalière et en informer les autres États membres et la Commission.

En outre, les États membres devraient coopérer pour ce qui est de la sécurité et de l’interopérabilité des schémas d’identification électronique au niveau de l’Union, au moyen d’échange d’informations et du partage des bonnes pratiques.

Calendrier de la reconnaissance mutuelle : les États membres qui le souhaitent pourront adhérer au système de reconnaissance mutuelle des moyens d'identification électronique notifiés dès que les actes d'exécution nécessaires seront adoptés par la Commission, à savoir au plus tard le 18 septembre 2015. Le système de reconnaissance mutuelle obligatoire devrait démarrer au cours du deuxième semestre de 2018.

Services de confiance : la directive 1999/93/CE du Parlement européen et du Conseil régissait les signatures électroniques sans fournir de cadre transfrontalier et intersectoriel complet pour des transactions électroniques sécurisées, fiables et aisées à utiliser.

Le nouveau règlement renforce et développe l’acquis de cette directive en instaurant pour la première fois, des dispositions à l'échelle de l'UE concernant les services de confiance, c’est-à-dire les services électroniques normalement fourni contre rémunération qui consistent en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique ou la création et la validation de certificats pour l'authentification de sites Web.

Les services de confiance qui sont conformes au règlement devraient pouvoir circuler librement au sein du marché intérieur. Les services fournis par des prestataires établis dans un pays tiers seraient reconnus comme équivalents aux services de confiance qualifiés fournis par des prestataires qualifiés établis dans l'Union si les services provenant du pays tiers sont reconnus en vertu d'un accord conclu entre l'Union et des pays tiers ou des organisations internationales.

Dans la mesure où cela est faisable, les services de confiance fournis, ainsi que les produits destinés à l'utilisateur final qui servent à fournir ces services, devraient être accessibles aux personnes handicapées.

En outre, un label de confiance de l'UE serait créé pour identifier les services de confiance qui satisfont à certaines exigences très strictes. L'utilisation du label de confiance serait facultative.

Organe de contrôle : les États membres devraient désigner un ou des organes de contrôle chargés d'exécuter les activités de contrôle en application du règlement.

Les organes de contrôle devraient coopérer avec les autorités chargées de la protection des données, par exemple en les informant des résultats des audits des prestataires de services de confiance qualifiés, lorsqu'il apparaît que des règles en matière de protection des données à caractère personnel ont été violées.

Les prestataires de services de confiance qualifiés devraient faire l'objet, au moins tous les deux ans, d'un audit effectué à leurs frais par un organisme d'évaluation de la conformité.

La Commission procèdera à un réexamen de l’application du règlement et rendra compte au Parlement européen et au Conseil, au plus tard le 1er  juillet 2020.

ENTRÉE EN VIGUEUR : 17.9.2014. Le règlement est applicable, sauf exceptions, à partir du 1.1.2016.

ACTES DÉLÉGUÉS : la Commission peut adopter des actes délégués afin de compléter certains aspects techniques précis du règlement. Le pouvoir d’adopter de tels actes est conféré à la Commission pour une durée indéterminée à compter du 17 septembre 2014. Le Parlement européen ou le Conseil peuvent formuler des objections à l'égard d'un acte délégué dans un délai de deux mois à compter de la date de notification (ce délai pouvant être prolongé de deux mois). Si le Parlement européen ou le Conseil formulent des objections, l'acte délégué n'entre pas en vigueur.