OBJECTIF : susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur et garantir la reconnaissance juridique transnationale de l'identification, de l'authentification et des signatures électroniques et des services de confiance associés.
ACTE LÉGISLATIF : Règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur lidentification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
CONTENU : le nouveau règlement prévoit une base commune pour assurer des interactions électroniques sûres entre les entreprises, les citoyens et les services publics. Il vise à accroître l'efficacité des services publics et privés en ligne, des activités économiques en ligne et du commerce électronique dans l'UE et à accroître la confiance dans les transactions électroniques au sein du marché intérieur.
Pour ce faire, le règlement:
Reconnaissance mutuelle de l'identification électronique : les nouvelles règles exigent que les États membres reconnaissent, dans certaines conditions, les moyens d'identification électronique des personnes physiques et morales qui relèvent d'un système d'identification électronique d'un autre État membre ayant été notifié à la Commission. Il appartient aux États membres de décider s'ils souhaitent notifier l'ensemble, une partie, où aucun des systèmes d'identification électronique utilisés au niveau national pour accéder au moins aux services publics en ligne ou à des services spécifiques.
Ces règles ne couvrent que les aspects transfrontières de l'identification électronique, la création de moyens d'identification électronique demeurant une prérogative nationale.
Conditions de la reconnaissance mutuelle : le principe de la reconnaissance mutuelle devrait sappliquer si le schéma didentification électronique de lÉtat membre notifiant remplit les conditions de notification et si la notification a été publiée au Journal officiel de lUnion européenne.
Lobligation de reconnaître des moyens didentification électronique ne devrait sappliquer que lorsque lorganisme du secteur public en question utilise le niveau de garantie «substantiel» ou «élevé» en rapport avec laccès audit service en ligne.
Le règlement prévoit également la responsabilité de lÉtat membre notifiant, de la partie qui délivre le moyen didentification électronique et de la partie qui gère la procédure dauthentification en cas de dommage causé intentionnellement ou par négligence à toute personne physique ou morale en raison dun manquement aux obligations pertinentes du règlement.
En cas datteinte à la sécurité, lÉtat membre notifiant devrait suspendre ou révoquer, immédiatement, lauthentification transfrontalière et en informer les autres États membres et la Commission.
En outre, les États membres devraient coopérer pour ce qui est de la sécurité et de linteropérabilité des schémas didentification électronique au niveau de lUnion, au moyen déchange dinformations et du partage des bonnes pratiques.
Calendrier de la reconnaissance mutuelle : les États membres qui le souhaitent pourront adhérer au système de reconnaissance mutuelle des moyens d'identification électronique notifiés dès que les actes d'exécution nécessaires seront adoptés par la Commission, à savoir au plus tard le 18 septembre 2015. Le système de reconnaissance mutuelle obligatoire devrait démarrer au cours du deuxième semestre de 2018.
Services de confiance : la directive 1999/93/CE du Parlement européen et du Conseil régissait les signatures électroniques sans fournir de cadre transfrontalier et intersectoriel complet pour des transactions électroniques sécurisées, fiables et aisées à utiliser.
Le nouveau règlement renforce et développe lacquis de cette directive en instaurant pour la première fois, des dispositions à l'échelle de l'UE concernant les services de confiance, cest-à-dire les services électroniques normalement fourni contre rémunération qui consistent en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou dhorodatages électroniques, de services denvoi recommandé électronique ou la création et la validation de certificats pour l'authentification de sites Web.
Les services de confiance qui sont conformes au règlement devraient pouvoir circuler librement au sein du marché intérieur. Les services fournis par des prestataires établis dans un pays tiers seraient reconnus comme équivalents aux services de confiance qualifiés fournis par des prestataires qualifiés établis dans l'Union si les services provenant du pays tiers sont reconnus en vertu d'un accord conclu entre l'Union et des pays tiers ou des organisations internationales.
Dans la mesure où cela est faisable, les services de confiance fournis, ainsi que les produits destinés à l'utilisateur final qui servent à fournir ces services, devraient être accessibles aux personnes handicapées.
En outre, un label de confiance de l'UE serait créé pour identifier les services de confiance qui satisfont à certaines exigences très strictes. L'utilisation du label de confiance serait facultative.
Organe de contrôle : les États membres devraient désigner un ou des organes de contrôle chargés d'exécuter les activités de contrôle en application du règlement.
Les organes de contrôle devraient coopérer avec les autorités chargées de la protection des données, par exemple en les informant des résultats des audits des prestataires de services de confiance qualifiés, lorsqu'il apparaît que des règles en matière de protection des données à caractère personnel ont été violées.
Les prestataires de services de confiance qualifiés devraient faire l'objet, au moins tous les deux ans, d'un audit effectué à leurs frais par un organisme d'évaluation de la conformité.
La Commission procèdera à un réexamen de lapplication du règlement et rendra compte au Parlement européen et au Conseil, au plus tard le 1er juillet 2020.
ENTRÉE EN VIGUEUR : 17.9.2014. Le règlement est applicable, sauf exceptions, à partir du 1.1.2016.
ACTES DÉLÉGUÉS : la Commission peut adopter des actes délégués afin de compléter certains aspects techniques précis du règlement. Le pouvoir dadopter de tels actes est conféré à la Commission pour une durée indéterminée à compter du 17 septembre 2014. Le Parlement européen ou le Conseil peuvent formuler des objections à l'égard d'un acte délégué dans un délai de deux mois à compter de la date de notification (ce délai pouvant être prolongé de deux mois). Si le Parlement européen ou le Conseil formulent des objections, l'acte délégué n'entre pas en vigueur.