← Luxembourg

En bref

Cette loi vise à mettre en place le portefeuille européen d'identité numérique au Luxembourg, en définissant les organismes responsables et les règles de fonctionnement de ce portefeuille. Elle s'inscrit dans le cadre d'un règlement européen sur l'identité numérique.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
Projet de loi relative à la mise en place du portefeuille européen d’identité numérique et portant mise en œuvre du règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique et modifiant la loi modifiée du 19 juin 2013 relative à l’identification des personnes physiques Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau, Vu le règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique ; Vu la loi modifiée du 19 juin 2013 relative à l’identification des personnes physiques, au registre national des personnes physiques, à la carte d’identité, aux registres communaux des personnes physiques et portant modification de 1. l’article 104 du Code civil ; 2. la loi modifiée du 30 mars 1979 organisant l’identification numérique des personnes physiques et morales ; 3. la loi communale modifiée du 13 décembre 1988 ; 4. la loi électorale modifiée du 18 février 2003 et abrogeant 1. la loi modifiée du 22 décembre 1886 concernant les recensements de population à faire en exécution de la loi électorale et 2. l’arrêté grand-ducal du 30 août 1939 portant introduction de la carte d’identité obligatoire ; Le Conseil d’État entendu ; Vu l’adoption par la Chambre des Députés ; Vu la décision de la Chambre des Députés du … et celle du Conseil d’État du … portant qu’il n’y pas lieu à second vote ; Avons ordonné et ordonnons : Chapitre 1er - Dispositions générales Art. 1er. Objet et définitions (1) La présente loi a pour objet de mettre en place le portefeuille européen d’identité numérique, tel que visé par le règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique, désigné ci-après par le terme « règlement (UE) n° 910/2014 ». (2) Les termes et expressions définis à l’article 3 du règlement (UE) n° 910/2014 ont la même signification dans la présente loi. 1 Chapitre 2 – Compétences Art. 2. Désignations des organismes compétents (1) Le Centre des technologies de l’information de l’État, ci-après « CTIE », est désigné comme organisme chargé de fournir la solution nationale du portefeuille européen d’identité numérique, ci-après « le fournisseur » conformément à l’article 5bis, paragraphe 1er du règlement (UE) n° 910/2014. Aux fins de la présente loi, la solution nationale du portefeuille européen d’identité numérique est dénommée ci-après « le portefeuille ». (2) L’Office luxembourgeois d’accréditation et de surveillance est désigné comme organisme chargé de l’accréditation des organismes de certification, conformément à l’article 9, paragraphe 1er du règlement d’exécution (UE) 2024/2981 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne la certification des portefeuilles européens d’identité numérique. (3) L’Institut luxembourgeois de régulation est désigné comme organe de contrôle chargé du contrôle du fournisseur, ainsi que du portefeuille, conformément à l’article 46bis, paragraphe 1er du règlement (UE) n° 910/2014. (4) Le membre du gouvernement ayant la digitalisation dans ses attributions assure la mission de point de contact unique, conformément à l’article 46 quater du règlement (UE) n° 910/2014. (5) Le membre du gouvernement ayant la digitalisation dans ses attributions est désigné comme propriétaire des schémas nationaux de certification conformément à l’article 3, paragraphe 1er du règlement d’exécution (UE) 2024/2981 de la Commission du 28 novembre 2024 précité. (6) Le Commissariat du gouvernement à la protection des données à caractère personnel auprès de l’État est désigné comme bureau d’enregistrement, conformément à l’article 3, paragraphe 3 du règlement d’exécution (UE) 2025/848 de la Commission du 6 mai 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne l’enregistrement des parties utilisatrices de portefeuille. (7) Le CTIE est désigné comme autorité de certification chargée de délivrer des certificats d’accès aux parties utilisatrices enregistrées au registre des parties utilisatrices, conformément à l’article 7, paragraphe 1er du règlement d’exécution (UE) 2025/848 précité. (8) Le CTIE est désigné comme autorité de certification chargée de délivrer des certificats d’enregistrement aux parties utilisatrices enregistrées au registre des parties utilisatrices, conformément à l’article 8, paragraphe 1er du règlement d’exécution (UE) 2025/848 précité. 2 Chapitre 3 - Portefeuille et données d’identification personnelle Art. 3. Données d’identification personnelle (1) Le CTIE est l’organisme chargé de fournir les données d’identification personnelle des utilisateurs personnes physiques et morales aux fins de les associer à leur unité de portefeuille, conformément à l’article 5bis, paragraphe 5, point f) du règlement (UE) n° 910/2014. (2) Le CTIE fournit, à la demande, les données d’identification personnelle aux utilisateurs suivants du portefeuille : - les personnes physiques ayant la nationalité luxembourgeoise, - les personnes physiques résidant sur le territoire de l’État du Grand-Duché du Luxembourg et inscrites sur le registre national, dénommé ci-après « registre national des personnes physiques », tel que visé par l’article 4 de la loi modifiée du 19 juin 2013 relative à l’identification des personnes physiques, - les personnes morales ayant leur siège social sur le territoire de l’État du Grand-Duché du Luxembourg et inscrites au répertoire général, tel que visé par l’article 3 de la loi modifiée du 30 mars 1979 organisant l’identification numérique des personnes physiques ou morales. (3) Les données d’identification personnelle d’un utilisateur personne physique, sont fournies par le CTIE sur base d’un accès direct au registre national des personnes physiques. (4) Conformément à l’annexe, point 1, tableau 1 du règlement d’exécution (UE) 2024/2977 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les données d’identification personnelles et les attestations électroniques d’attributs délivrés aux portefeuilles européens d’identité numérique, les données d’identification personnelle des utilisateurs personnes physiques sont l’ensemble des données énumérées à l’article 5, paragraphe 2, lettres a), d) et f) de la loi modifiée du 19 juin 2013 précitée. Afin de garantir que les données d’identification personnelle représentent de manière univoque la personne physique, conformément à l’article 5 bis, paragraphe 5, point f) du règlement (UE) n° 910/2014, il est ajouté aux données d’identification personnelle un numéro administratif personnel qui est associé au numéro d’identification au sens de l’article 1er de la loi modifiée du 19 juin 2013 précitée, selon un processus informatisé standardisé qui protégera la confidentialité du numéro d’identification. (5) Les données d’identification personnelle d’un utilisateur personne morale sont fournies par le CTIE sur base d’un accès direct au répertoire général. (6) Conformément à l’annexe, point 2, tableau 3 du règlement d’exécution (UE) 2024/2977 précité, les données d’identification personnelle des utilisateurs personnes morales sont la dénomination sociale visée par l’article 3, paragraphe 2, point 2°, lettre a), ainsi que le numéro d’identité tel que visé par l’article 2 de la loi modifiée du 30 mars 1979 précitée. 3 (7) Le CTIE associe les données d’identification personnelle fournies selon les procédures prévues aux paragraphes 4 et 6 à l’unité de portefeuille de l’utilisateur. (8) Le CTIE attribue un identifiant aux données d’identification personnelle de chaque utilisateur, et un identifiant à chaque unité de portefeuille. La création de ces deux identifiants est nécessaire afin de pouvoir associer l’identifiant des données d’identification personnelle à l’identifiant d’unité de portefeuille correspondant dans le registre dédié prévu au paragraphe suivant. (9) Conformément à l’article 5bis, paragraphe 14 du règlement n° 910/2014, le CTIE conserve, dans un registre dédié tenu séparément de tout autre registre contenant des données à caractère personnel : - pour l’utilisateur personne physique, son numéro personnel administratif, l’identifiant de ses données d’identification personnelle et l’identifiant de son unité de portefeuille; - pour l’utilisateur personne morale, son numéro d’identité, l’identifiant de ses données d’identification personnelle et l’identifiant de son unité de portefeuille. La durée de conservation des données visées au présent paragraphe ne peut dépasser la durée de validité de l’unité de portefeuille. (10) Le CTIE est le responsable du traitement pour les opérations de traitement des données réalisées pour la fourniture des données d’identification personnelles et l’association au portefeuille dans le cadre du présent article au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données). Art. 4. Enrôlement de l’utilisateur Afin de garantir que les données d’identification personnelle émises vers le portefeuille d’un utilisateur, représentent l’utilisateur de manière univoque, conformément à l’article 5bis, paragraphe 5, point f) du règlement (UE) n° 910/2014, ce dernier s’enrôle sur le guichet unique électronique visé à l’article 6 de la loi modifiée du 24 mai 2011 relative aux services dans le marché intérieur : - par tout moyen d’identification électronique notifié de niveau de garantie élevé au sens de l’article 8, paragraphe 2, point c) du règlement (UE) n° 910/2014, ou - en s’identifiant à l’aide de sa carte d’identité ou de son passeport auprès de l’administration communale du lieu de résidence de l’utilisateur ou dans les locaux du guichet physique, ou - par tout moyen d’identification électronique notifié de niveau de garantie substantiel au sens de l’article 8, paragraphe 2, point b) du règlement (UE) n° 910/2014, combiné avec les procédures d’enrôlement à distance supplémentaires établies par l’acte d’exécution (UE) 202X/XXXX prévu à l’article 5bis, paragraphe 24 du règlement (UE) n° 910/2014. 4 Art. 5. Code source de composants logiciels Conformément à l’article 5bis, paragraphe 3 du règlement (UE) n° 910/2014, le code source de composants logiciels spécifiques autres que ceux installés sur les dispositifs utilisateurs ne peut pas être divulgué lorsque ces composants sont liés à la garantie directe ou indirecte de la sécurité de l’infrastructure informatique de l’État ou lorsque ceux-ci sont sujets aux droits de propriété intellectuelle. Art. 6. Suspension et révocation du portefeuille et de l’unité de portefeuille (1) En application de l’article 5bis, paragraphe 9, lettre a) du règlement (UE) n° 910/2014, la demande de révocation de la validité de l’unité de portefeuille de l’utilisateur se fait auprès du fournisseur par tous les moyens. Ce dernier est tenu de révoquer la validité de cette unité de portefeuille endéans les vingt-quatre heures de la réception de la demande. (2) En application de l’article 5bis, paragraphe 9, lettre c) du règlement (UE) n° 910/2014, la demande de révocation de la validité de l’unité de portefeuille en cas de décès de l’utilisateur ou de cessation d’activité de la personne morale se fait auprès du fournisseur par tous les moyens. Ce dernier est tenu de révoquer la validité de cette unité de portefeuille endéans les vingt-quatre heures de la réception de la demande. (3) En application de l’article 5 sexies, paragraphe 1er du règlement (UE) n° 910/2014, le fournisseur suspend la fourniture et l’utilisation du portefeuille endéans les vingt-quatre heures à compter du moment où l’atteinte à la sécurité ou la compromission, a été constatée conformément à l’article 3, paragraphe 2 du règlement d’exécution (UE) 2025/847 de la Commission du 6 mai 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les réactions aux atteintes à la sécurité des portefeuilles européens d’identité numérique. (4) En cas de changement d’une ou plusieurs des données d’identification personnelle d’un utilisateur personne physique ou morale, ces données d’identification personnelle sont automatiquement révoquées par le CTIE. Art. 7. Statistiques Le CTIE élabore des statistiques relatives au fonctionnement du portefeuille conformément à l’article 48bis du règlement (UE) n° 910/2014. Chapitre 4 - Enregistrement des parties utilisatrices de portefeuille européen d'identité numérique Art. 8. Enregistrement des parties utilisatrices de portefeuille européen d’identité numérique (1) Le bureau d’enregistrement élabore la politique et les procédures nationales d’enregistrement conformément aux articles 4 et 6 du règlement d’exécution (UE) 2025/848 précité. 5 (2) Aux fins de l’enregistrement, les parties utilisatrices fournissent au bureau d’enregistrement, par voie électronique ou par moyens automatisés, les informations suivantes : 1° les informations requises par l’article 6 du règlement d’exécution (UE) 2025/848 précité ; 2° un extrait du casier judiciaire de la personne physique ou morale ou des représentants légaux de la personne, datant de moins d’un mois à la date du dépôt de la demande d’enregistrement ; 3° la preuve de la détention d’une autorisation d’établissement en cours de validité pour les parties utilisatrices soumises à l’obligation d’autorisation d’établissement prévue par la loi modifiée du 2 septembre 2011 réglementant l’accès aux professions d’artisan, de commerçant, d’industriel ainsi qu’à certaines professions libérales ; 4° toutes autres informations nécessaires demandées par le bureau d’enregistrement aux fins des vérifications liées aux parties utilisatrices et à l’utilisation du portefeuille européen d'identité numérique par les parties utilisatrices conformément à l’article 5ter du règlement (UE) n°910/2014 et au règlement d’exécution (UE) 2025/848 précité. (3) En cas de recours à un intermédiaire agissant pour le compte de la partie utilisatrice, les données mentionnées au paragraphe précédent relatives à cet intermédiaire sont également communiquées au bureau d’enregistrement. (4) La collecte des informations mentionnées au paragraphe 2, points 1° et 3° peut être opérée par le bureau d’enregistrement par un accès direct : 1° au registre tenu par le membre du gouvernement ayant les autorisations d’établissement dans ses attributions, en vertu de l’article 32 la loi modifiée du 2 septembre 2011 précitée ; 2° au registre de commerce et des sociétés tenu en vertu de l’article 1er de la loi modifiée du 19 décembre 2002 concernant le registre de commerce et des sociétés ainsi que la comptabilité et les comptes annuels des entreprises ; 3° au registre national des personnes physiques ; 4° au répertoire général. (5) Avec l’accord préalable de la partie utilisatrice, la collecte du bulletin n° 2 du casier judiciaire établi par la loi modifiée du 29 mars 2013 relative à l’organisation du casier judiciaire peut être opérée par le bureau d’enregistrement directement auprès du procureur général d’État. 6 Art. 9. Mise à la disposition du public des informations de la partie utilisatrice Le bureau d’enregistrement met les informations visées à l’annexe I du règlement d’exécution (UE) 2025/848 précité sur les parties utilisatrices enregistrées à la disposition du public en ligne conformément à l’article 3, paragraphe 4 du règlement d’exécution (UE) 2025/848 précité. Art. 10. Vérifications (1) Le bureau d’enregistrement procède aux vérifications liées aux parties utilisatrices et à l’utilisation du portefeuille par les parties utilisatrices conformément à l’article 5ter du règlement (UE) n°910/2014 et au règlement d’exécution (UE) 2025/848 précité. (2) Aux fins des vérifications prévues au paragraphe 1er, le bureau d’enregistrement peut consulter par accès direct les fichiers mentionnés à l'article 8, paragraphe 4. Lorsque des éléments démontrent un risque élevé d’utilisation illicite ou illégal du portefeuille européen d'identité numérique, un nouvel extrait du casier judiciaire peut être demandé à tout moment conformément aux modalités prévues à l’article 8. (3) La responsabilité civile du bureau d’enregistrement pour des dommages individuels subis du fait de l’enregistrement d’une partie utilisatrice ne peut être engagée que s’il est prouvé que le dommage a été causé par une négligence grave dans le choix et l'application des moyens mis en œuvre pour l'accomplissement de la mission de service public du bureau d’enregistrement de l’alinéa précédent. Art. 11. Suspension et annulation de l'enregistrement (1) En cas de soupçon d’une utilisation illicite ou illégal au regard du droit de l’Union européenne et du droit national du portefeuille européen d'identité numérique par une partie utilisatrice, une analyse peut être opérée par le bureau d’enregistrement. (2) En cas d’utilisation non autorisée, frauduleuse ou illégale du portefeuille européen d'identité numérique par une partie utilisatrice, le bureau d’enregistrement : - suspend ou annule l’enregistrement et l’inclusion des parties utilisatrices sur demande de l’organe de contrôle, conformément à l’article 9, paragraphe 1er du règlement d’exécution (UE) 2025/848 précité ; - peut suspendre ou annuler, l’enregistrement et l’inclusion des parties utilisatrices de sa propre initiative conformément à l’article 9, paragraphe 2 du règlement d’exécution (UE) 2025/848 précité. Art. 12. Système informatique Le système informatique par lequel les accès prévus aux articles 8 et 10 sont opérés, doit être aménagé de la manière suivante : - l'accès aux fichiers est sécurisé moyennant une authentification forte ; 7 - les informations relatives aux personnes ayant procédé à la consultation ainsi que les informations consultées, la date et l'heure de la consultation sont enregistrées et conservées, afin que le motif du traitement puisse être retracé. Art. 13. Recours Un recours contre les décisions du bureau d’enregistrement peut être exercé devant le Tribunal administratif qui statue comme juge du fond. Chapitre 5 - Attestations électroniques Art. 14. Délivrance des attestations électroniques d’attributs par un organisme du secteur public L’ensemble des attestations électroniques d’attributs susceptibles d’être délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte, au sens de l’article 3 point 46, et de l’article 45 septies du règlement (UE) n° 910/2014, sont émises par l’organisme du secteur public responsable de la source authentique concernée ou par le CTIE. Chapitre 6 - Organe de contrôle Art. 15. Attributions de l’organe de contrôle (1) Dans la mesure nécessaire à l’accomplissement de ses missions en vertu de la présente loi, l’organe de contrôle peut demander la coopération des autorités sectorielles pertinentes, dont notamment la Commission de surveillance du secteur financier, le Commissariat aux Assurances ou l'Institut luxembourgeois de la normalisation, de l'accréditation, de la sécurité et qualité des produits et services. (2) L’obligation au secret professionnel prévue par l’article 15 de la loi modifiée du 30 mai 2005 portant : 1) organisation de l’Institut luxembourgeois de régulation ; 2) modification de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l’État ne fait pas obstacle à l’échange d’informations confidentielles entre l’organe de contrôle, l’autorité de contrôle compétente en vertu du règlement (UE) n° 2016/679 précité, et le point de contact unique, dans le cadre et aux seules fins du règlement (UE) 910/2014, ainsi que de la présente loi et des mesures prises pour son exécution. En outre, l'obligation au secret professionnel des autorités sectorielles pertinentes prévue dans tout autre texte de loi similaire ne fait pas obstacle à cette coopération ou à l’échange d’informations confidentielles entre l’organe de contrôle et ces autorités dans le cadre et aux seules fins du règlement (UE) 910/2014, ainsi que de la présente loi et des mesures prises pour son exécution. Art. 16. Frais de fonctionnement L’organe de contrôle bénéficie d’une contribution financière à charge du budget de l’État afin de couvrir l’intégralité des frais de fonctionnement qui résultent de l’exercice des missions prévues par la présente loi. 8 Art. 17. Activités de contrôle (1) L’organe de contrôle s’assure, au moyen d’activités de contrôle a priori et a posteriori, que le fournisseur et le portefeuille qu’il fournit, satisfont aux exigences fixées dans le règlement (UE) n° 910/2014. (2) Les activités de contrôle visées au paragraphe précédent doivent être effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas. (3) L’organe de contrôle, lorsqu’il accomplit les activités de contrôle a priori et a posteriori visées au paragraphe 1er, a le pouvoir de soumettre le fournisseur à : 1° des inspections sur place et des contrôles à distance a priori et a posteriori, y compris des contrôles aléatoires effectués par des professionnels formés ; 2° des audits de conformité réguliers et ciblés réalisés par un organisme indépendant ou l’organe de contrôle ; 3° des audits ad hoc, notamment lorsqu’ils sont justifiés en raison d’un incident important ou d’une violation, par le fournisseur, de la présente loi ou du règlement (UE) n° 910/2014 ; 4° des demandes d’informations nécessaires à l’évaluation des mesures de gestion des risques adoptées par le fournisseur ; 5° des demandes d’accès à des données, à des documents et à toutes informations nécessaires à l’accomplissement de ses activités de contrôle ; 6° des demandes de preuves de la mise en œuvre des dispositions du règlement (UE) n° 910/2014, telles que les résultats des audits de conformité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants. (4) Les résultats de tout audit sont mis à la disposition de l’organe de contrôle. Les coûts des audits effectués par un organisme indépendant sont à la charge du fournisseur, sauf lorsque l’organe de contrôle en décide autrement dans des cas dûment motivés. (5) Lorsque l’organe de contrôle exerce ses pouvoirs en vertu du paragraphe 3, points 5°, 6° ou 7°, il mentionne la finalité de la demande et précise quelles sont les informations exigées. Art. 18. Mesures d’exécution (1) Au vu d’éléments de preuve, d’indications ou d’informations selon lesquels le fournisseur ne respecterait pas la présente loi ou le règlement (UE) n° 910/2014, l’organe de contrôle a le pouvoir de prendre une ou plusieurs des mesures d’exécution suivantes, le cas échéant, dans le cadre de mesures de contrôle a posteriori : 1° d’adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en œuvre ces mesures et rendre compte de cette mise en œuvre, ou une injonction exigeant du fournisseur qu’il remédie aux insuffisances constatées ou aux violations de la présente loi ou du règlement (UE) n° 910/2014 ; 9 2° d’ordonner au fournisseur de mettre un terme à un comportement qui viole la présente loi ou le règlement (UE) n° 910/2014 et de ne pas le réitérer ; 3° d’ordonner au fournisseur de garantir la conformité de ses mesures de gestion des risques ; 4° d’ordonner au fournisseur d’informer les personnes physiques ou morales à l’égard desquelles il fournit des services ou exerce des activités susceptibles d’être affectées par une non-conformité importante, de la nature de la non-conformité, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette non-conformité ; 5° d’ordonner au fournisseur de mettre en œuvre les recommandations formulées à la suite d’un audit de conformité ou d’un audit ad hoc dans un délai raisonnable ; 6° d’ordonner au fournisseur de rendre publics les aspects de violations de la présente loi ou du règlement (UE) n° 910/2014 de manière spécifique. (2) L’organe de contrôle expose en détail les motifs des mesures d’exécution. Avant de prendre de telles mesures, il informe le fournisseur de ses conclusions préliminaires. Il laisse en outre à ce fournisseur un délai de 5 jours ouvrables pour communiquer ses observations, sauf dans des cas exceptionnels dûment motivés où cela empêcherait une intervention immédiate pour prévenir un incident ou y répondre. (3) Les mesures d’exécution imposées au titre du paragraphe 1er sont uniquement appliquées jusqu’à ce que le fournisseur prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l’organe de contrôle à l’origine de l’application de ces mesures d’exécution. (4) Lorsqu’il prend toute mesure d’exécution visée au paragraphe 1er, l’organe de contrôle respecte les droits de la défense et tient compte des circonstances propres à chaque cas et, au minimum, tient dûment compte : 1° de la gravité de la violation et de l’importance des dispositions enfreintes, les faits suivants, entre autres, devant être considérés en tout état de cause comme graves : a) les violations répétées ; b) le fait de ne pas notifier des incidents importants ou de ne pas y remédier ; c) le fait de ne pas pallier les insuffisances à la suite d’instructions contraignantes de l’organe de contrôle ; d) le fait d’entraver des audits ou des activités de contrôle ordonnées par l’organe de contrôle à la suite de la constatation d’une violation ; e) la fourniture d’informations fausses ou manifestement inexactes relatives aux mesures de gestion des risques ; 2° de la durée de la violation ; 3° de toute violation antérieure pertinente commise par le fournisseur ; 4° des dommages matériels, corporels ou moraux causés, y compris des pertes financières ou économiques, des effets sur d’autres services et du nombre d’utilisateurs touchés ; 10 5° du fait que l’auteur de la violation a agi délibérément ou par négligence ; 6° des mesures prises par le fournisseur pour prévenir ou atténuer les dommages matériels, corporels ou moraux ; 7° de l’application de mécanismes de certification approuvés. (5) Lorsque les mesures d’exécution adoptées en vertu du paragraphe 1er sont inefficaces, l’organe de contrôle peut fixer un délai ne dépassant pas trois mois dans lequel le fournisseur est invité à prendre les mesures nécessaires pour pallier les insuffisances ou satisfaire aux exigences de l’organe de contrôle. Si la mesure demandée n’est pas prise dans le délai imparti, l’organe de contrôle a le pouvoir d’imposer une ou plusieurs sanctions visées à l’article 19. Art. 19. Sanctions (1) Si le fournisseur n’a pas remédié, dans le délai prévu à l’article 18, paragraphe 2, aux irrégularités étant à l’origine d’une ou de plusieurs des mesures d’exécution imposées, l’organe de contrôle peut frapper le fournisseur d’une ou de plusieurs des sanctions suivantes : 1° un avertissement ; 2° un blâme ; 3° une amende administrative, dont le montant est proportionné à la gravité du manquement et à l’ampleur du dommage sans pouvoir excéder 1.000.000 euros. (2) Au moment de décider s’il y a lieu d’imposer une amende administrative et de décider de son montant, dans chaque cas d’espèce, il est dûment tenu compte, au minimum, des éléments prévus à l’article 18, paragraphe 4. (3) Avant de prononcer une sanction visée au paragraphe 1er, l’organe de contrôle engage une procédure contradictoire dans laquelle le fournisseur a la possibilité de consulter le dossier et de présenter ses observations. Le fournisseur peut se faire assister ou représenter par une personne de son choix. À l’issue de la procédure contradictoire, l’organe de contrôle peut prononcer à l’encontre du fournisseur une ou plusieurs des sanctions visées au paragraphe 1er. (4) Les décisions prises par l’organe de contrôle à l’issue de la procédure contradictoire sont motivées et notifiées au fournisseur. (5) Contre les décisions visées au paragraphe 3, un recours en réformation est ouvert devant le tribunal administratif. (6) L’Administration de l’enregistrement, des domaines et de la TVA est chargée du recouvrement des amendes administratives qui lui sont communiquées par l’organe de contrôle moyennant la transmission d’une copie des décisions de fixation. Le recouvrement est poursuivi comme en matière d’enregistrement. 11 Art. 20. Coopération en matière de protection des données à caractère personnel (1) Lorsqu’il traite des incidents donnant lieu à des violations de données à caractère personnel, l’organe de contrôle coopère étroitement avec les autorités de contrôle en vertu du règlement (UE) 2016/679 précité, sans préjudice de la compétence et des missions de l’organe de contrôle. (2) Lorsque l’organe de contrôle prend connaissance, dans le cadre de la supervision ou de l’exécution, du fait que la violation commise par le fournisseur à l’égard des obligations énoncées au règlement (UE) n° 910/2014 peut donner lieu à une violation de données à caractère personnel au sens de l’article 4, point 12° du règlement (UE) 2016/679 précité, devant être notifiée en vertu de l’article 33 dudit règlement, il en informe sans retard injustifié les autorités de contrôle visées à l’article 55 ou 56 dudit règlement. Chapitre 7 - Dispositions finales Art. 21. Dispositions modificatives La loi modifiée du 19 juin 2013 précitée est modifiée comme suit : (1) A l’article 5, paragraphe 2 sont apportées les modifications suivantes : - à la lettre n), le terme « et » est biffé ; à la lettre o), le signe de ponctuation « . » est remplacé par les termes « ; et »; une nouvelle lettre p), libellée comme suit, est ajoutée: « p) pour les utilisateurs personnes physiques du portefeuille, le numéro administratif personnel contenu dans les données d’identification personnelle de l’unité de portefeuille européen d’identité numérique au sens de l’article 3, paragraphe 4, de la loi du XXXXX relative à la mise en place du portefeuille européen d’identité numérique. ». (2) A l’article 10, la lettre a) est remplacée par une nouvelle lettre a) libellée comme suit : « a) la structure des numéros d’identification et des numéros administratifs personnels ; ». (3) A l’article 11, alinéa 2, il est inséré entre le sixième tiret et le septième tiret, un nouveau tiret comprenant le libellé suivant : « - d'un délégué du Commissariat du Gouvernement à la protection des données auprès de l’État, ». (4) A l’article 12, paragraphe 2, la 3ème phrase est remplacée par le libellé suivant : « La carte d’identité contient en outre les éléments uniquement accessibles de manière électronique suivants : a) le moyen d’authentification du titulaire de la carte d’identité, d’une durée de validité égale à la durée de la validité de la carte visée à l’article 15, paragraphe 2 ; b) la clé privée relative au moyen visé à la lettre a) ; 12 c) le prestataire de service de certification agréé qui délivre le moyen visé à la lettre a) ; d) l’information nécessaire à l’authentification de la carte et à la protection des données lisibles de manière électronique figurant sur la carte et à l’utilisation du certificat afférent ; e) l’image faciale non codifiée du titulaire ; f) le numéro d’identification ; g) les deux empreintes digitales du titulaire. ». (5) A l’article 12, paragraphe 2, la 4ème phrase est remplacée par le libellé suivant : « L’élément visé à la lettre a) de l’alinéa qui précède n’est pas activé pour les cartes d’identité délivrées aux majeurs incapables. Pour les titulaires mineurs au moment de la délivrance de la carte d’identité, l’activation de l’élément visé à la lettre a) de l’alinéa qui précède doit être autorisée par un parent exerçant l’autorité parentale ou par leur tuteur. ». Art. 22. Intitulé de citation La référence à la présente loi se fait sous la forme suivante : loi du XXXXX relative à la mise en place du portefeuille européen d’identité numérique. 13 Journal officiel de ['Union européenne FR Série L 2024/1183 30.4.2024 RÈGLEMENT (UE) 2024/1183 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 11 avril 2024 modifiant le règlement (UE) n“ 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE, vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114, vu la proposition de la Commission européenne, après transmission du projet d'acte législatif aux parlements nationaux, vu l’avis du Comité économique et social européen ('), vu l'avis du Comité des régions (2), statuant conformément à la procédure législative ordinaire ('), considérant ce qui suit: (1) Dans sa communication du 19 février 2020 intitulée «Façonner l'avenir numérique de l’Europe», la Commission annonce une révision du règlement (UE) n° 910/2014 du Parlement européen et du Conseil (4) en vue d'en améliorer l’efficacité, d'étendre ses avantages au secteur privé et de promouvoir une identité numérique fiable pour tous les Européens. (2) Dans ses conclusions des 1“ et 2 octobre 2020, le Conseil européen a invité la Commission à proposer la mise en place, à l’échelle de l'UE, d'un cadre pour une identification électronique publique sécurisée, y compris des signatures numériques interopérables, qui permette aux personnes d'exercer un contrôle sur leur identité et leurs données en ligne et donne accès à des services numériques publics, privés et transfrontières. (3) Le programme d’action pour la décennie numérique à l'horizon 2030, établi par la décision (UE) 2022/2481 du Parlement européen et du Conseil (5), fixe les objectifs et cibles numériques d’un cadre de l'Union qui, d’ici à 2030, visent à conduire au déploiement à grande échelle d’une identité numérique fiable utilisée sur une base volontaire et contrôlée par l’utilisateur, qui soit reconnue dans l’ensemble de l'Union et permette à chaque utilisateur d’avoir un contrôle sur ses données dans le cadre de ses interactions en ligne. (4) La «Déclaration européenne sur les droits et principes numériques pour la décennie numérique», proclamée par le Parlement européen, le Conseil et la Commission (6) (ci-après dénommée «déclaration»), souligne le droit de toute personne à avoir accès à des technologies, produits et services numériques qui sont, dès la conception, sûrs, sécurisés et respectueux de la vie privée. Cela signifie notamment veiller à offrir à toutes les personnes vivant au sein de l'Union une identité numérique accessible, sûre et fiable, qui donne accès à un large éventail de services en ligne et hors ligne, en étant protégées contre les risques liés à la cybersécurité et la cybercriminalité, y compris les violations de données et l'usurpation ou la manipulation d'identité. La déclaration souligne également que toute personne a droit à la protection de ses données à caractère personnel. Ce droit comprend le contrôle sur la façon dont les données sont utilisées et sur les personnes avec qui elles sont partagées. (1) JO C 105 du 4.3.2022, p. 81. (2) JO C 61 du 4.2.2022, p. 42. (’) Position du Parlement européen du 29 février 2024 (non encore parue au Journal officiel) et décision du Conseil du 26 mars 2024. (■*) Règlement (UE) n" 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73). (s) Décision (UÈ) 2022/2481 du Parlement européen et du Conseil du 14 décembre 2022 établissant le programme d'action pour la décennie numérique à l'horizon 2030 (JO L 323 du 19.12.2022, p. 4). (6) JO C 23 du 23.1.2023, p. 1. ELI: http://data.europa.eu/eli/reg/2024/!183/oj 1/56 FR JO L du 30.4.2024 (5) Les citoyens de l'Union et les résidents de l’Union devraient avoir le droit à une identité numérique qui soit sous leur contrôle exclusif et qui leur permette d'exercer leurs droits dans l’environnement numérique et de participer à l'économie numérique. Pour atteindre cet objectif, il convient d'établir un cadre européen relatif à une identité numérique permettant aux citoyens de l'Union et aux résidents de l'Union d'accéder à des services publics et privés en ligne et hors ligne dans l’ensemble de l’Union. (6) Un cadre harmonisé en matière d’identité numérique devrait contribuer à créer une Union plus intégrée d'un point de vue numérique, en réduisant les barrières numériques entre les États membres et en donnant aux citoyens de l'Union et aux résidents de l’Union les moyens de bénéficier des avantages liés à la transition numérique, tout en améliorant la transparence et la protection de leurs droits. (7) Une approche plus harmonisée de l'identification électronique devrait réduire les risques et les coûts engendrés par la fragmentation actuelle due au recours à des solutions nationales divergentes ou, dans certains États membres, à l’absence de telles solutions d'identification électronique. Une telle approche devrait renforcer le marché intérieur en permettant aux citoyens de l'Union, aux résidents de l’Union, au sens du droit national, et aux entreprises de s’identifier et de fournir une authentification de leur identité en ligne et hors ligne de manière sûre, fiable, conviviale, pratique, accessible et harmonisée, et ce dans toute l'Union. Le portefeuille européen d’identité numérique devrait fournir aux personnes physiques et morales dans toute l’Union un moyen d’identification électronique harmonisé permettant l’authentification et le partage des données liées à leur identité. Chacun devrait être en mesure d'accéder en toute sécurité aux services publics et privés en ayant recours à un écosystème amélioré de services de confiance et à des preuves d’identité et des attestations électroniques d'attributs vérifiées, comme des qualifications académiques, y compris les diplômes universitaires, ou autres titres éducatifs ou professionnels. Le cadre européen relatif à une identité numérique est destiné à permettre de passer d'un recours aux seules solutions nationales d’identité numérique à la fourniture d'attestations électroniques d’attributs valides et légalement reconnues à travers l'Union. Les fournisseurs d'attestations électroniques d'attributs devraient bénéficier d’un ensemble de règles clair et uniforme, tandis que les administrations publiques devraient pouvoir se fier à des documents électroniques dans un format donné. (8) Plusieurs États membres ont mis en œuvre des moyens d’identification électronique et ont recours à ces moyens, qui sont acceptés par les prestataires de services dans l'Union. En outre, des investissements ont été réalisés dans des solutions tant nationales que transfrontalières sur la base du règlement (UE) n° 910/2014, y compris pour l'interopérabilité des schémas d'identification électronique notifiés prévus par ledit règlement. Afin d'assurer la complémentarité et l'adoption rapide des portefeuilles européens d’identité numérique par les utilisateurs actuels des moyens d'identification électronique notifiés et de minimiser l’incidence sur les prestataires de services existants, il est escompté que les portefeuilles européens d’identité numérique mettent à profit l’expérience acquise avec les moyens d’identification électronique existants et l’infrastructure des schémas d'identification électronique notifiés déployée au niveau de l'Union et au niveau national. (9) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (7) et, le cas échéant, la directive 2002/5 8/CE du Parlement européen et du Conseil (s ) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du règlement (UE) n° 910/2014. Ées solutions fournies au titre du cadre d’interopérabilité prévu par le présent règlement respectent également ces règles. Le droit de l’Union en matière de protection des données prévoit des principes en matière de protection des données, tels que les principes de minimisation des données et de limitation des finalités et les obligations qui y sont liées, telle que la protection des données dès la conception et par défaut. (10) Pour soutenir la compétitivité des entreprises de l'Union, les prestataires de services tant en ligne qu'hors ligne devraient pouvoir s’appuyer sur des solutions d’identité numérique reconnues dans toute l’Union, indépendamment de l'État membre dans lequel ces solutions sont fournies, et bénéficier ainsi d'une approche harmonisée à l’échelle de l'Union en matière de confiance, de sécurité et d’interopérabilité. Tant les utilisateurs que les prestataires de services devraient pouvoir bénéficier d'attestations électroniques d'attributs ayant la même valeur juridique dans l’ensemble de l’Union. Un cadre harmonisé en matière d’identité numérique est destiné à créer de la valeur économique en facilitant l’accès aux biens et aux services, en réduisant sensiblement les coûts opérationnels liés aux procédures d'identification et d’authentification électroniques, par exemple lors de l'enrôlement de nouveaux clients, et en réduisant le risque de cybercriminalité, telle que l'usurpation d’identité, le vol de données et la fraude en ligne, soutenant ainsi les gains d’efficacité et la transformation numérique en toute sécurité des micro, petites et moyennes entreprises (PME) de l'Union. (7) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 9 5/46/CE (règlement général sur la protection des données) QO L 119 du 4.5.2016, p. 1). Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37). (8) 2/56 ELI: http://data.europa.eu/eli/reg/2024/!183/oj JO L du 30.4.2024 (11) Les portefeuilles européens d'identité numérique devraient faciliter l’application du principe de la transmission unique d'informations, ce qui réduirait la charge administrative et soutiendrait la mobilité transfrontière des citoyens de l’Union et des résidents de l’Union ainsi que des entreprises dans l'ensemble de l'Union, et favoriserait le développement de services d'administration en ligne interopérables dans l'ensemble de l'Union. (12) Le règlement (UE) 2016/679, le règlement (UE) 2018/1725 du Parlement européen et du Conseil (’) et la directive 2002/58/CE s’appliquent au traitement de données à caractère personnel effectué en application du présent règlement. Par conséquent, le présent règlement devrait prévoir des garanties spécifiques pour empêcher les fournisseurs de moyens d’identification électronique et d’attestations électroniques d'attributs de combiner des données à caractère personnel obtenues lors de la fourniture d'autres services avec des données à caractère personnel traitées pour fournir des services relevant du champ d’application du présent règlement. Les données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique devraient être maintenues séparées, de manière logique, de toute autre donnée détenue par le fournisseur du portefeuille européen d'identité numérique. Le présent règlement ne devrait pas empêcher les fournisseurs de portefeuilles européens d’identité numérique d’appliquer des mesures techniques supplémentaires qui contribuent à la protection des données à caractère personnel, telles que la séparation physique des données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique de toute autre donnée détenue par le fournisseur. Sans préjudice du règlement (UE) 2016/679, le présent règlement précise davantage l’application des principes de limitation des finalités, de minimisation des données et de protection des données dès la conception et par défaut. (13) Les portefeuilles européens d'identité numérique devraient intégrer dans leur conception une fonction de tableau de bord commun pour garantir un niveau plus élevé de transparence, de protection de la vie privée et de contrôle des utilisateurs sur leurs données à caractère personnel. Cette fonction devrait proposer une interface simple et conviviale comportant une vue d’ensemble de toutes les parties utilisatrices avec lesquelles l’utilisateur partage des données, y compris des attributs, ainsi que le type de données partagées avec chaque partie utilisatrice. Elle devrait permettre aux utilisateurs de suivre toutes les transactions exécutées au moyen du portefeuille européen d’identité numérique, en fournissant au moins les données suivantes: l'heure et la date de la transaction, l’identification de la contrepartie, les données à caractère personnel demandées et les données partagées. Ces informations devraient être conservées même si la transaction n’a pas été conclue. Il ne devrait pas être possible de contester l’authenticité des informations contenues dans l’historique des transactions. Cette fonction devrait être active par défaut. Elle devrait permettre aux utilisateurs de demander facilement l’effacement immédiat, par une partie utilisatrice, de données à caractère personnel en vertu de l’article 17 du règlement (UE) 2016/679 et de signaler facilement la partie utilisatrice à l’autorité nationale chargée de la protection des données compétente, directement par l'intermédiaire du portefeuille européen d’identité numérique, lorsqu’une demande présumée illégale ou suspecte de données à caractère personnel est reçue. (14) Les États membres devraient intégrer différentes technologies de protection de la vie privée, telles que la preuve à divulgation nulle de connaissance, dans le portefeuille européen d’identité numérique. Ces méthodes cryptographiques devraient permettre à une partie utilisatrice de valider la véracité d’une déclaration donnée fondée sur les données d’identification personnelle et l’attestation d’attributs, sans révéler aucune donnée sur laquelle cette déclaration est fondée, préservant ainsi la vie privée de l’utilisateur. (15) Le présent règlement définit les conditions harmonisées pour l'établissement d’un cadre pour les portefeuilles européens d'identité numérique devant être fournis par les États membres. Tous les citoyens de l’Union, et les résidents de l’Union au sens du droit national, devraient être habilités à demander, sélectionner, combiner, stocker, supprimer, partager et présenter de manière sécurisée des données relatives à leur identité et à demander l'effacement de leurs données à caractère personnel d’une manière conviviale et pratique, sous le contrôle exclusif de l'utilisateur, tout en permettant la divulgation sélective de données à caractère personnel. Le présent règlement reflète les valeurs européennes partagées et respecte les droits fondamentaux, les garanties et la responsabilité juridique, protégeant ainsi les sociétés démocratiques, les citoyens de l’Union et les résidents de l'Union. Il convient de développer les technologies utilisées pour parvenir à ces objectifs de manière à atteindre le niveau le plus élevé de sécurité, de respect de la vie privée, de confort d’utilisation, d’accessibilité et de facilité d’utilisation, ainsi qu’une interopérabilité homogène. Les États membres devraient garantir à tous leurs citoyens et résidents l'égalité d’accès à l’identification électronique. Les États membres ne devraient pas limiter, directement ou indirectement, l'accès aux services publics ou privés des personnes physiques ou morales qui ne choisissent pas d’utiliser des portefeuilles européens d’identité numérique, et devraient mettre à disposition des solutions de substitution appropriées. (’) Règlement (UE) 2018/1 72 5 du Parlement européen et du Conseil du 2 5 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1 247/2002/CE (JO L 295 du 21.11.2018, P- 39). ELI: http://data.europa.eu/eli/reg/2024/!183/oj FR 3/56 FR 4/56 JO L du 30.4.2024 (16) Les États membres devraient s’appuyer sur les possibilités offertes par le présent règlement pour fournir, sous leur responsabilité, des portefeuilles européens d’identité numérique destinés à être utilisés par les personnes physiques et morales résidant sur leur territoire. Afin d’offrir une marge de manœuvre aux États membres et de tirer parti de la technologie de pointe, le présent règlement devrait permettre que les portefeuilles européens d’identité numérique soient fournis directement par un État membre, sur mandat d’un État membre, ou indépendamment d’un État membre, tout en étant reconnus par cet État membre. (17) Aux fins de l'enregistrement, les parties utilisatrices devraient fournir les informations nécessaires pour permettre leur identification et leur authentification électroniques vis-à-vis des portefeuilles européens d’identité numérique. Lorsqu’elles déclarent leur utilisation prévue du portefeuille européen d'identité numérique, les parties utilisatrices devraient fournir des informations sur les données éventuelles qu’elles demanderont afin de fournir leurs services et sur les motifs de la demande. L'enregistrement des parties utilisatrices facilite la vérification par les États membres de la licéité des activités des parties utilisatrices au regard du droit de l’Union. L’obligation d'enregistrement prévue dans le présent règlement devrait être sans préjudice des obligations prévues par d'autres dispositions du droit de l’Union ou du droit national, par exemple en ce qui concerne les informations à fournir aux personnes concernées en vertu du règlement (UE) 2016/679. Les parties utilisatrices devraient respecter les garanties prévues par les articles 35 et 36 dudit règlement, en particulier en réalisant des analyses d’impact relatives à la protection des données et en consultant les autorités chargées de la protection des données compétentes préalablement au traitement des données lorsque les analyses d’impact relatives à la protection des données indiquent que le traitement entraînerait un risque élevé. Ces garanties devraient favoriser le traitement licite des données à caractère personnel par les parties utilisatrices, en particulier en ce qui concerne des catégories particulières de données, telles que les données de santé. L’enregistrement des parties utilisatrices est destiné à accroître la transparence et à renforcer la confiance dans l'utilisation des portefeuilles européens d’identité numérique. Il convient que l'enregistrement n’entraîne pas de coûts excessifs et soit proportionné aux risques associés afin d'assurer son adoption par les prestataires de services. Dans ce contexte, l'enregistrement devrait prévoir l'utilisation de procédures automatisées, y compris le recours à des registres existants et leur utilisation par les États membres, et il ne devrait pas comporter de procédure d’autorisation préalable. La procédure d’enregistrement devrait permettre une diversité de cas d’utilisation qui peuvent varier en ce qui concerne le mode de fonctionnement, que ce soit en ligne ou en mode hors ligne, ou l’exigence d'authentifier les dispositifs aux fins de l’interface avec le portefeuille européen d’identité numérique. L’enregistrement devrait s’appliquer exclusivement aux parties utilisatrices fournissant des services au moyen d’une interaction numérique. (18) La protection des citoyens de ('Union et des résidents de l’Union contre l’utilisation non autorisée ou frauduleuse des portefeuilles européens d’identité numérique revêt la plus haute importance pour assurer la confiance dans les portefeuilles européens d’identité numérique et leur adoption à grande échelle. Les utilisateurs devraient bénéficier d’une protection effective contre de telles utilisations abusives. En particulier, lorsque les faits constitutifs d’une utilisation frauduleuse ou autrement illégale d'un portefeuille européen d’identité numérique sont établis par une autorité judiciaire nationale dans le cadre d’une autre procédure, les organes de contrôle responsables des émetteurs de portefeuilles européens d’identité numérique devraient, après notification, prendre les mesures nécessaires pour faire en sorte que l’enregistrement de la partie utilisatrice et l’inclusion des parties utilisatrices dans le mécanisme d'authentification soient révoqués ou suspendus jusqu’à ce que l’autorité notifiante confirme qu'il a été remédié aux irrégularités constatées. (19) Tous les portefeuilles européens d'identité numérique devraient permettre aux utilisateurs de s’identifier et de s'authentifier par voie électronique en ligne et en mode hors ligne, par-delà les frontières, pour accéder à un large éventail de services publics et privés. Sans préjudice des prérogatives des États membres en ce qui concerne l'identification de leurs citoyens et résidents, les portefeuilles européens d'identité numérique peuvent aussi répondre aux besoins institutionnels des administrations publiques, des organisations internationales et des institutions, organes et organismes de l’Union. L’authentification en mode hors ligne serait importante dans de nombreux secteurs, y compris dans le secteur de la santé, où les services sont souvent fournis par interaction directe et où la vérification de l'authenticité des prescriptions électroniques devrait pouvoir être effectuée à l'aide de codes QR ou de technologies similaires. En s’appuyant sur le niveau de garantie élevé en ce qui concerne les schémas d'identification électronique, les portefeuilles européens d’identité numérique devraient bénéficier du potentiel offert par des solutions infalsifiables, telles que des éléments sécurisés, pour se conformer aux exigences de sécurité prévues par le présent règlement. Les portefeuilles européens d'identité numérique devraient aussi permettre aux utilisateurs de créer et d’utiliser des signatures et cachets électroniques qualifiés qui sont acceptés dans toute l’Union. Une fois enrôlées dans un portefeuille européen d’identité numérique, les personnes physiques devraient pouvoir utiliser celui-ci pour signer au moyen de signatures électroniques qualifiées, par défaut et gratuitement, sans devoir passer par des procédures administratives supplémentaires. Les utilisateurs devraient pouvoir signer ou apposer des cachets sur des déclarations ou attributs autodéclarés. Afin de permettre aux personnes et aux entreprises de toute l’Union de bénéficier des avantages liés à la simplification et à la réduction des coûts, notamment en accordant des pouvoirs de représentation et des mandats électroniques, les États membres devraient fournir des portefeuilles européens d’identité numérique qui reposent sur des normes communes et des spécifications techniques afin de garantir une interopérabilité homogène et d’accroître dûment la sécurité informatique, de renforcer la résilience face aux cyberattaques et de réduire ainsi significativement les risques potentiels que présente la transition numérique en cours pour les citoyens et résidents de l’Union et les entreprises. Seules les autorités compétentes des États membres ELI: http://data.europa.eu/eli/reg/2024/!18 3/oj JO L du 30.4.2024 FR peuvent établir l'identité d'une personne avec un niveau élevé de fiabilité et, partant, garantir que la personne revendiquant ou affirmant une identité particulière est effectivement la personne qu'elle prétend être. Il est donc nécessaire que la fourniture des portefeuilles européens d'identité numérique repose sur l’identité juridique des citoyens de ('Union et des résidents de ['Union ou des personnes morales. Le recours à l’identité juridique ne devrait pas empêcher les utilisateurs de portefeuilles européens d'identité numérique d’accéder aux services sous un pseudonyme, dès lors que l’identité juridique n'est pas requise pour l’authentification. La confiance dans les portefeuilles européens d’identité numérique serait renforcée si les entités qui les délivrent et les gèrent étaient tenues de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir le niveau de sécurité le plus élevé qui soit proportionné aux risques posés pour les droits et libertés des personnes physiques, conformément au règlement (UE) 2016/679. (20) L’utilisation d’une signature électronique qualifiée à des fins non professionnelles devrait être gratuite pour toutes les personnes physiques. Les États membres devraient avoir la possibilité de prévoir des mesures pour empêcher l'utilisation gratuite de signatures électroniques qualifiées à des fins professionnelles par des personnes physiques, tout en veillant à ce que ces mesures soient proportionnées aux risques identifiés et justifiées. (21) Il est utile de faciliter l’adoption et l'utilisation des portefeuilles européens d'identité numérique en les intégrant de manière homogène à l'écosystème des services numériques publics et privés déjà mis en œuvre au niveau national, local ou régional. Pour atteindre cet objectif, les États membres devraient avoir la possibilité de prévoir des mesures juridiques et organisationnelles en vue d'offrir une plus grande souplesse aux fournisseurs de portefeuilles européens d’identité numérique et de permettre des fonctionnalités supplémentaires des portefeuilles européens d’identité numérique par rapport à celles prévues par le présent règlement, y compris au moyen d'une interopérabilité accrue avec les moyens d'identification électronique nationaux existants. De telles fonctionnalités supplémentaires ne devraient en aucun cas nuire à la fourniture des fonctions essentielles des portefeuilles européens d’identité numérique prévues par le présent règlement, ni conduire à la promotion de solutions nationales existantes aux dépens des portefeuilles européens d’identité numérique. Étant donné qu'elles dépassent le cadre du présent règlement, ces fonctionnalités supplémentaires ne bénéficient pas des dispositions relatives au recours transfrontière aux portefeuilles européens d’identité numérique prévues dans le présent règlement. (22) Les portefeuilles européens d'identité numérique devraient comporter une fonctionnalité permettant de générer des pseudonymes choisis et gérés par l'utilisateur pour s’authentifier lorsqu'ils accèdent à des services en ligne. (23) Afin d’atteindre un niveau élevé de sécurité et de fiabilité, le présent règlement établit les exigences applicables aux portefeuilles européens d’identité numérique. La conformité des portefeuilles européens d'identité numérique avec ces exigences devrait être certifiée par des organismes d’évaluation de la conformité accrédités désignés par les États membres. (24) Afin d'éviter les approches divergentes et d’harmoniser la mise en œuvre des exigences établies par le présent règlement, la Commission devrait, aux fins de certifier les portefeuilles européens d’identité numérique, adopter des actes d’exécution visant à établir une liste de normes de référence et, lorsque cela est nécessaire, établir des spécifications et des procédures aux fins de formuler les spécificat …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.