← Luxembourg

En bref

Cette loi met en œuvre un règlement européen pour établir un cadre européen d'identité numérique, modifiant deux lois existantes au Luxembourg. Elle vise à adapter la législation nationale aux nouvelles règles concernant les services de confiance et les attestations électroniques d'attributs.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
Projet de loi portant mise en œuvre du règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique et portant : 1° modification de la loi modifiée du 14 août 2000 relative au commerce électronique ; 2° modification de la loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS Texte du projet Nous Guillaume, Grand-Duc de Luxembourg, Duc de Nassau, Vu le règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique ; Le Conseil d’État entendu ; Vu l’adoption par la Chambre des Députés ; Vu la décision de la Chambre des Députés du … et celle du Conseil d’État du … portant qu’il n’y pas lieu à second vote ; Avons ordonné et ordonnons : Chapitre 1er – Modification de la loi modifiée du 14 août 2000 relative au commerce électronique Art. 1er. L’article 1er de la loi modifiée du 14 août 2000 relative au commerce électronique, est modifié comme suit : 1° Au paragraphe 1er, point a), les mots « (ci-après « règlement (UE) n°910/2014 ») » sont ajoutés après les mots « abrogeant la directive 1999/93/CE ; ». 2° Au paragraphe 1er, sont insérés deux nouveaux points a)bis et a)ter, libellés comme suit : « a)bis « attestation électronique d’attributs » : l’attestation électronique d’attributs au sens du règlement (UE) n° 910/2014 ; a)ter « attestation électronique d’attributs qualifiée » : l’attestation électronique d’attributs qualifiée au sens du règlement (UE) n° 910/2014 ; ». 1 Art. 2. Au titre II, chapitre 2, de la même loi, l’intitulé est remplacé comme suit : « Chapitre 2. Des services de confiance, des prestataires de services de confiance, et des fournisseurs d’attestations électroniques d’attributs ». Art. 3. Au titre II, chapitre 2, section 2, de la même loi, l’intitulé est remplacé par le texte suivant : « Section 2. Des obligations des prestataires de services de confiance, des fournisseurs d’attestations électroniques d’attributs et de certains titulaires de certificats et d’attestations électroniques d’attributs ». Art. 4. À l’article 19, paragraphe 4, de la même loi, les mots « 45bis, paragraphe 3 » sont remplacés par les mots « 34bis, paragraphe 1er ». Art. 5. L’article 21 de la même loi est modifié comme suit : 1° L’intitulé est remplacé par le texte suivant : « Art. 21. Des obligations du titulaire d’un certificat ou d’une attestation électronique d’attributs ». 2° Il est inséré un nouveau paragraphe 2bis libellé comme suit : « (2bis) En cas de perte de la conformité à la réalité des informations contenues dans l’attestation électronique d’attributs disposant d’une période de validité supérieure à vingt-quatre heures et fournie par un fournisseur d’attestations électroniques d’attributs qualifiées ou par un fournisseur d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte, le titulaire est tenu de faire révoquer immédiatement l’attestation électronique d’attributs conformément à l’article 4 du règlement d’exécution (UE) 2025/1569 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014. ». Art. 6. À la suite de l’article 26 de la même loi, il est inséré un nouvel article 26bis, libellé comme suit : « Art. 26bis. De la révocation des attestations électroniques d’attributs (1) Le fournisseur d’attestations électroniques d’attributs informe le titulaire de la révocation d’une attestation électronique d’attributs délivrée par lui dans les meilleurs délais et motive sa décision. (2) Lorsque la période de validité d’une attestation fournie par un fournisseur d’attestations électroniques d’attributs qualifiées ou un fournisseur d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte est supérieure à vingt-quatre heures, le fournisseur de cette attestation la révoque immédiatement au moins dans les cas suivants : 1° il découvre ou est informé que l’attestation a été constituée sur la base d’informations erronées ou falsifiées, que les informations contenues dans l’attestation ne sont plus conformes à la réalité ou que l’attestation a été utilisée frauduleusement ; 2° le fournisseur est informé du décès de la personne physique ou de la dissolution de la personne morale qui en est le titulaire ; 3° la révocation de l’attestation a été ordonnée par une juridiction ; 2 4° l’ILNAS retire le statut qualifié au fournisseur d’attestations électroniques d’attributs qualifiées ou au service de confiance qualifié sous lequel l’attestation a été délivrée, sauf dérogation de l’ILNAS ; 5° l’ILNAS demande la révocation de l’attestation électronique d’attributs délivrée par un fournisseur d’attestations d’attributs qualifiées, à l’exclusion des fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte, pour non-respect des exigences de la présente loi ou du règlement (UE) n° 910/2014. ». Art. 7. L’article 29 de la même loi est modifié comme suit : 1° Au paragraphe 1er, les mots « du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, ci-après « règlement (UE) n° 910/2014 », » sont supprimés. 2° Il est inséré un nouveau paragraphe 4bis libellé comme suit : « (4bis) Lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées par un prestataire de services de confiance qualifié, l’ILNAS, conformément à l’article 20, paragraphe 2, du règlement (UE) n° 910/2014, informe, dans les meilleurs délais, l’autorité de contrôle compétente instituée en vertu de l’article 51 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, ci-après « règlement (UE) 2016/679 ». ». 3° Il est inséré un nouveau paragraphe 4ter libellé comme suit : « (4ter) Lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été violées, et en cas d’atteintes à la sécurité dont il apparaît qu’elles constituent des violations de données à caractère personnel, l’ILNAS, conformément à l’article 46ter, paragraphe 4, point f) du règlement (UE) n°910/2014, coopère avec les autorités de contrôle compétentes instituées en vertu de l’article 51 du règlement (UE) 2016/679, en particulier en les en informant, dans les meilleurs délais. ». Art. 8. L’article 29bis de la même loi est abrogé. Art. 9. L’article 32 de la même loi est modifié comme suit : 1° L’intitulé est remplacé comme suit : « De la modification, de l’arrêt et du transfert des activités ». 2° Au paragraphe 1er, est inséré un nouvel alinéa 3 libellé comme suit : « Il informe l’ILNAS au moins un mois avant la mise en œuvre de toute modification importante dans la fourniture de ses services de confiance qualifiés. Les règlements d’exécution pris en vertu de l’article 24, paragraphe 5 du règlement (UE) n° 910/2014 sont à considérer pour déterminer s’il doit informer l’ILNAS d’une modification dans la fourniture de ses services de confiance qualifiés. ». 3 3° Le paragraphe 2, est remplacé comme suit : « (2) Le prestataire de services de confiance qualifié peut transférer à un autre prestataire de services de confiance qualifié tout ou partie de ses activités. Il transmet au prestataire de services de confiance qualifié, qui reprend tout ou partie de ses activités, toutes les informations et données nécessaires pour assurer que le transfert des activités et les services de confiances qualifiés transférés continuent à répondre à toutes les exigences du règlement (UE) n° 910/2014 de manière ininterrompue. En particulier, il transmet tous ses propres certificats en relation avec les services de confiances qualifiés transférés, ensemble avec les clés privées y associées, au prestataire de services de confiance qualifié, qui reprend tout ou partie de ses activités. Lors du transfert des certificats qualifiés, le prestataire de services de confiance qualifié se conforme aux exigences suivantes : a) Le prestataire de services de confiance qualifié avertit chaque titulaire de certificat qualifié au moins un mois à l’avance qu’il envisage de transférer les certificats qualifiés à un autre prestataire de services de confiance qualifié ; b) Le prestataire de services de confiance qualifié précise aux titulaires de certificats qualifiés, l’identité du prestataire de services de confiance qualifié auquel il décide de transférer les certificats qualifiés ; c) Le prestataire de services de confiance qualifié informe le titulaire de certificat qualifié du droit qu’il dispose de refuser le transfert et lui indique les délais et modalités selon lesquels il peut exprimer un tel refus. En cas de refus du titulaire de certificat qualifié dans le délai prévu, le prestataire de services de confiance qualifié révoque le certificat qualifié du titulaire de certificat qualifié ; d) Le prestataire de services de confiance qualifié transmet toutes les informations visées à l’article 24, paragraphe 2, lettre h), du règlement (UE) n° 910/2014 au prestataire de services de confiance qualifié auquel il décide de transférer les certificats qualifiés. ». Art. 10. L’article 34bis de la même loi est modifié comme suit : 1° Au paragraphe 1er, l’alinéa 1er, est remplacé par la disposition suivante : « (1) L’ILNAS peut infliger à tout prestataire de services de confiance, une amende allant de 250 euros à 5.000.000 euros lorsqu’il s’agit d’une personne physique, ou d’une amende de 250 euros jusqu’à 5 000 000 euros ou 1 % du chiffre d’affaires annuel mondial total de l’entreprise à laquelle le prestataire de services de confiance appartenait lors de l’exercice précédant l’année au cours de laquelle l’infraction a été commise, le montant le plus élevé étant retenu, lorsque le prestataire de services de confiance est une personne morale, qui : » . 2° Au paragraphe 1er, les points a), b) et d) sont supprimés. 3° Au paragraphe 1er, point e), le signe de ponctuation « . » est remplacé par le signe de ponctuation « ; ». 4° Au paragraphe 1er, à la suite du point e) sont insérés quatre nouvelles lettres f), g), h) et i) libellés comme suit : « f) utilise dans sa dénomination sociale, son nom commercial ou toute communication commerciale, la dénomination de prestataire de services de confiance qualifié ou de service de confiance qualifié sans être inscrite sur une liste de confiance nationale conformément à l’article 22, paragraphe 1er du règlement (UE) n° 910/2014 ; 4 g) viole les articles 19bis, paragraphe 1er, 20, paragraphe 1er, 1bis et 2, 24, paragraphe 1er, 1bis, 1ter, 2, 3 et 4, 28, paragraphe 1er , 29, paragraphe 1bis, 29bis, paragraphe 1er, 32, paragraphe 1er et 2, 32bis, paragraphes 1er et 2, 33, paragraphe 1er, 34, paragraphe 1er, 38, paragraphe 1er , 39, paragraphe 1er, 39bis, 40, 40bis, 42, paragraphe 1er, 44, paragraphe 1er et 2bis, 45, paragraphes 1er et 1bis, 45bis, paragraphe 1er et 3, 45quinquies, paragraphes 1er et 2, 45octies, 45nonies, paragraphes 1er à 3, 45undecies, paragraphe 1er, 45terdecies, paragraphe 1er du règlement (UE) n° 910/2014 ; h) viole l’article 19, paragraphe 4 ; i) offre des prétendus services de confiance qualifiés sans être inscrit sur une des listes de confiance visées à l’article 22, paragraphe 1er du règlement (UE) n° 910/2014. ». 5° Le paragraphe 2 est supprimé. 6° Il est inséré un nouveau paragraphe 2bis libellé comme suit : « (2bis) L’ILNAS peut exiger que le prestataire de services de confiance qualifié qui ne satisfait pas à l’une des exigences énoncées dans le règlement (UE) n° 910/2014, remédie à ce manquement, dans un délai fixé par l’ILNAS. Si ledit prestataire ne remédie pas au manquement et, le cas échéant, dans le délai fixé par l’ILNAS, ce dernier, lorsque cela est justifié en particulier par l’ampleur, la durée et les conséquences de ce manquement, retire le statut qualifié à ce prestataire ou au service affecté qu’il fournit. ». 7° Il est inséré un nouveau paragraphe 2ter libellé comme suit : « (2ter) Lorsque les autorités compétentes désignées en vertu de l’article 3, alinéas 1er et 2 de la loi du XXXX concernant des mesures destinées à assurer un niveau élevé de cybersécurité, informent l’ILNAS que le prestataire de services de confiance qualifié ne satisfait pas à l’une des exigences prévues à l’article 12 de la loi du XXXX concernant des mesures destinées à assurer un niveau élevé de cybersécurité, l’ILNAS, lorsque cela est justifié en particulier par l’ampleur, la durée et les conséquences de ce manquement, retire le statut qualifié à ce prestataire ou au service affecté qu’il fournit. ». 8° Il est inséré un nouveau paragraphe 2quater libellé comme suit : « (2quater) Lorsque les autorités de contrôle instituées en vertu de l’article 51 du règlement (UE) 2016/679, informent l’ILNAS, que le prestataire de services de confiance qualifié ne satisfait pas à l’une des exigences prévues par ledit règlement, l’ILNAS, lorsque cela est justifié en particulier par l’ampleur, la durée et les conséquences de ce manquement, retire le statut qualifié à ce prestataire ou au service affecté qu’il fournit. ». 9° Il est inséré un nouveau paragraphe 2quinquies comme suit : « (2quinquies) L’ILNAS informe le prestataire de services de confiance qualifié du retrait de son statut qualifié ou du retrait du statut qualifié du service concerné. L’ILNAS informe les autorités compétentes désignées en vertu de l’article 3, alinéas 1er et 2 de la loi du XXXX concernant des mesures destinées à assurer un niveau élevé de cybersécurité de ces retraits. ». 10° Il est inséré un nouveau paragraphe 3bis libellé comme suit : « (3bis) Le recouvrement des amendes et de toutes autres créances est confié à l’Administration de l’enregistrement, des domaines et de la TVA. Il se fait comme en matière d’enregistrement. ». 5 Art. 11. L’article 45bis de la même loi est abrogé. Chapitre 2 – Modification de la loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS Art. 12. La loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS est modifiée comme suit : 1° Au chapitre II dans l’intitulé de section 3, le mot « du » est remplacé par les mots « de l’ » ; 2° L’article 4, paragraphe 1er, est modifié comme suit : a) À l’alinéa 1er, le mot « du » est remplacé par les mots « de l’ » ; b) Au point 3, les mots « tel que modifié, » sont insérés après les mots « et abrogeant la directive 1999/93/CE, » ; c) Au point 4, les mots « l’article 17 » sont remplacés par les mots « l’article 46ter » ; d) Au point 6, le signe de ponctuation « . » est remplacé par le signe de ponctuation « ; » ; e) Après le point 6° sont insérés deux nouveaux points 7° et 8° libellés comme suit : « 7° à recueillir des statistiques relatives au fonctionnement des services de confiance qualifiés fournis au Grand-Duché de Luxembourg et à établir un rapport annuel à soumettre à la Commission européenne conformément à l’article 48bis du règlement (UE) n° 910/2014. Les statistiques recueillies sont publiées sur le site web de l’ILNAS et sur la plateforme de données ouvertes luxembourgeoise (data.public.lu) ; 8° à notifier à la Commission, dans les meilleurs délais, les noms, adresses et informations d’accréditation des organismes d’évaluation de la conformité conformément à l’article 20, 1ter du règlement (UE) n° 910/2014 ainsi que toute modification ultérieure qui leur est apportée. ». 3° À l’article 14, paragraphe 1er, les mots «, et la loi modifiée du 14 août 2000 relative au commerce électronique et ses règlements d’exécution, » sont insérés après les mots « la loi modifiée du 17 mai 1882 sur les poids et mesures et ses règlements d’exécution ». 4° À l’article 17quater, paragraphe 2, les mots suivants « en vertu du présent article » sont supprimés. 6 Journal officiel de l’Union européenne FR Série L 2024/1183 30.4.2024 RÈGLEMENT (UE) 2024/1183 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 11 avril 2024 modifiant le règlement (UE) no 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE, vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114, vu la proposition de la Commission européenne, après transmission du projet d’acte législatif aux parlements nationaux, vu l’avis du Comité économique et social européen (1), vu l’avis du Comite des régions (2), statuant conformément à la procédure législative ordinaire (3), considérant ce qui suit: (1) Dans sa communication du 19 février 2020 intitulée «Façonner l’avenir numérique de l’Europe», la Commission annonce une révision du règlement (UE) no 910/2014 du Parlement européen et du Conseil (4) en vue d’en améliorer l’efficacité, d’étendre ses avantages au secteur privé et de promouvoir une identité numérique fiable pour tous les Européens. (2) Dans ses conclusions des 1er et 2 octobre 2020, le Conseil européen a invité la Commission à proposer la mise en place, à l’échelle de l’UE, d’un cadre pour une identification électronique publique sécurisée, y compris des signatures numériques interopérables, qui permette aux personnes d’exercer un contrôle sur leur identité et leurs données en ligne et donne accès à des services numériques publics, privés et transfrontières. (3) Le programme d’action pour la décennie numérique à l’horizon 2030, établi par la décision (UE) 2022/2481 du Parlement européen et du Conseil (5), fixe les objectifs et cibles numériques d’un cadre de l’Union qui, d’ici à 2030, visent à conduire au déploiement à grande échelle d’une identité numérique fiable utilisée sur une base volontaire et contrôlée par l’utilisateur, qui soit reconnue dans l’ensemble de l’Union et permette à chaque utilisateur d’avoir un contrôle sur ses données dans le cadre de ses interactions en ligne. (4) La «Déclaration européenne sur les droits et principes numériques pour la décennie numérique», proclamée par le Parlement européen, le Conseil et la Commission (6) (ci-après dénommée «déclaration»), souligne le droit de toute personne à avoir accès à des technologies, produits et services numériques qui sont, dès la conception, sûrs, sécurisés et respectueux de la vie privée. Cela signifie notamment veiller à offrir à toutes les personnes vivant au sein de l’Union une identité numérique accessible, sûre et fiable, qui donne accès à un large éventail de services en ligne et hors ligne, en étant protégées contre les risques liés à la cybersécurité et la cybercriminalité, y compris les violations de données et l’usurpation ou la manipulation d’identité. La déclaration souligne également que toute personne a droit à la protection de ses données à caractère personnel. Ce droit comprend le contrôle sur la façon dont les données sont utilisées et sur les personnes avec qui elles sont partagées. (1) (2) (3) (4) JO C 105 du 4.3.2022, p. 81. JO C 61 du 4.2.2022, p. 42. Position du Parlement européen du 29 février 2024 (non encore parue au Journal officiel) et décision du Conseil du 26 mars 2024. Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du 28.8.2014, p. 73). Décision (UE) 2022/2481 du Parlement européen et du Conseil du 14 décembre 2022 établissant le programme d’action pour la décennie numérique à l’horizon 2030 (JO L 323 du 19.12.2022, p. 4). JO C 23 du 23.1.2023, p. 1. (5) (6) ELI: http://data.europa.eu/eli/reg/2024/1183/oj 1/56 FR JO L du 30.4.2024 (5) Les citoyens de l’Union et les résidents de l’Union devraient avoir le droit à une identité numérique qui soit sous leur contrôle exclusif et qui leur permette d’exercer leurs droits dans l’environnement numérique et de participer à l’économie numérique. Pour atteindre cet objectif, il convient d’établir un cadre européen relatif à une identité numérique permettant aux citoyens de l’Union et aux résidents de l’Union d’accéder à des services publics et privés en ligne et hors ligne dans l’ensemble de l’Union. (6) Un cadre harmonisé en matière d’identité numérique devrait contribuer à créer une Union plus intégrée d’un point de vue numérique, en réduisant les barrières numériques entre les États membres et en donnant aux citoyens de l’Union et aux résidents de l’Union les moyens de bénéficier des avantages liés à la transition numérique, tout en améliorant la transparence et la protection de leurs droits. (7) Une approche plus harmonisée de l’identification électronique devrait réduire les risques et les coûts engendrés par la fragmentation actuelle due au recours à des solutions nationales divergentes ou, dans certains États membres, à l’absence de telles solutions d’identification électronique. Une telle approche devrait renforcer le marché intérieur en permettant aux citoyens de l’Union, aux résidents de l’Union, au sens du droit national, et aux entreprises de s’identifier et de fournir une authentification de leur identité en ligne et hors ligne de manière sûre, fiable, conviviale, pratique, accessible et harmonisée, et ce dans toute l’Union. Le portefeuille européen d’identité numérique devrait fournir aux personnes physiques et morales dans toute l’Union un moyen d’identification électronique harmonisé permettant l’authentification et le partage des données liées à leur identité. Chacun devrait être en mesure d’accéder en toute sécurité aux services publics et privés en ayant recours à un écosystème amélioré de services de confiance et à des preuves d’identité et des attestations électroniques d’attributs vérifiées, comme des qualifications académiques, y compris les diplômes universitaires, ou autres titres éducatifs ou professionnels. Le cadre européen relatif à une identité numérique est destiné à permettre de passer d’un recours aux seules solutions nationales d’identité numérique à la fourniture d’attestations électroniques d’attributs valides et légalement reconnues à travers l’Union. Les fournisseurs d’attestations électroniques d’attributs devraient bénéficier d’un ensemble de règles clair et uniforme, tandis que les administrations publiques devraient pouvoir se fier à des documents électroniques dans un format donné. (8) Plusieurs États membres ont mis en œuvre des moyens d’identification électronique et ont recours à ces moyens, qui sont acceptés par les prestataires de services dans l’Union. En outre, des investissements ont été réalisés dans des solutions tant nationales que transfrontalières sur la base du règlement (UE) no 910/2014, y compris pour l’interopérabilité des schémas d’identification électronique notifiés prévus par ledit règlement. Afin d’assurer la complémentarité et l’adoption rapide des portefeuilles européens d’identité numérique par les utilisateurs actuels des moyens d’identification électronique notifiés et de minimiser l’incidence sur les prestataires de services existants, il est escompté que les portefeuilles européens d’identité numérique mettent à profit l’expérience acquise avec les moyens d’identification électronique existants et l’infrastructure des schémas d’identification électronique notifiés déployée au niveau de l’Union et au niveau national. (9) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (7) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (8) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du règlement (UE) no 910/2014. Les solutions fournies au titre du cadre d’interopérabilité prévu par le présent règlement respectent également ces règles. Le droit de l’Union en matière de protection des données prévoit des principes en matière de protection des données, tels que les principes de minimisation des données et de limitation des finalités et les obligations qui y sont liées, telle que la protection des données dès la conception et par défaut. (10) Pour soutenir la compétitivité des entreprises de l’Union, les prestataires de services tant en ligne qu’hors ligne devraient pouvoir s’appuyer sur des solutions d’identité numérique reconnues dans toute l’Union, indépendamment de l’État membre dans lequel ces solutions sont fournies, et bénéficier ainsi d’une approche harmonisée à l’échelle de l’Union en matière de confiance, de sécurité et d’interopérabilité. Tant les utilisateurs que les prestataires de services devraient pouvoir bénéficier d’attestations électroniques d’attributs ayant la même valeur juridique dans l’ensemble de l’Union. Un cadre harmonisé en matière d’identité numérique est destiné à créer de la valeur économique en facilitant l’accès aux biens et aux services, en réduisant sensiblement les coûts opérationnels liés aux procédures d’identification et d’authentification électroniques, par exemple lors de l’enrôlement de nouveaux clients, et en réduisant le risque de cybercriminalité, telle que l’usurpation d’identité, le vol de données et la fraude en ligne, soutenant ainsi les gains d’efficacité et la transformation numérique en toute sécurité des micro, petites et moyennes entreprises (PME) de l’Union. (7) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1). Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37). (8) 2/56 ELI: http://data.europa.eu/eli/reg/2024/1183/oj JO L du 30.4.2024 (11) Les portefeuilles européens d’identité numérique devraient faciliter l’application du principe de la transmission unique d’informations, ce qui réduirait la charge administrative et soutiendrait la mobilité transfrontière des citoyens de l’Union et des résidents de l’Union ainsi que des entreprises dans l’ensemble de l’Union, et favoriserait le développement de services d’administration en ligne interopérables dans l’ensemble de l’Union. (12) Le règlement (UE) 2016/679, le règlement (UE) 2018/1725 du Parlement européen et du Conseil (9) et la directive 2002/58/CE s’appliquent au traitement de données à caractère personnel effectué en application du présent règlement. Par conséquent, le présent règlement devrait prévoir des garanties spécifiques pour empêcher les fournisseurs de moyens d’identification électronique et d’attestations électroniques d’attributs de combiner des données à caractère personnel obtenues lors de la fourniture d’autres services avec des données à caractère personnel traitées pour fournir des services relevant du champ d’application du présent règlement. Les données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique devraient être maintenues séparées, de manière logique, de toute autre donnée détenue par le fournisseur du portefeuille européen d’identité numérique. Le présent règlement ne devrait pas empêcher les fournisseurs de portefeuilles européens d’identité numérique d’appliquer des mesures techniques supplémentaires qui contribuent à la protection des données à caractère personnel, telles que la séparation physique des données à caractère personnel liées à la fourniture des portefeuilles européens d’identité numérique de toute autre donnée détenue par le fournisseur. Sans préjudice du règlement (UE) 2016/679, le présent règlement précise davantage l’application des principes de limitation des finalités, de minimisation des données et de protection des données dès la conception et par défaut. (13) Les portefeuilles européens d’identité numérique devraient intégrer dans leur conception une fonction de tableau de bord commun pour garantir un niveau plus élevé de transparence, de protection de la vie privée et de contrôle des utilisateurs sur leurs données à caractère personnel. Cette fonction devrait proposer une interface simple et conviviale comportant une vue d’ensemble de toutes les parties utilisatrices avec lesquelles l’utilisateur partage des données, y compris des attributs, ainsi que le type de données partagées avec chaque partie utilisatrice. Elle devrait permettre aux utilisateurs de suivre toutes les transactions exécutées au moyen du portefeuille européen d’identité numérique, en fournissant au moins les données suivantes: l’heure et la date de la transaction, l’identification de la contrepartie, les données à caractère personnel demandées et les données partagées. Ces informations devraient être conservées même si la transaction n’a pas été conclue. Il ne devrait pas être possible de contester l’authenticité des informations contenues dans l’historique des transactions. Cette fonction devrait être active par défaut. Elle devrait permettre aux utilisateurs de demander facilement l’effacement immédiat, par une partie utilisatrice, de données à caractère personnel en vertu de l’article 17 du règlement (UE) 2016/679 et de signaler facilement la partie utilisatrice à l’autorité nationale chargée de la protection des données compétente, directement par l’intermédiaire du portefeuille européen d’identité numérique, lorsqu’une demande présumée illégale ou suspecte de données à caractère personnel est reçue. (14) Les États membres devraient intégrer différentes technologies de protection de la vie privée, telles que la preuve à divulgation nulle de connaissance, dans le portefeuille européen d’identité numérique. Ces méthodes cryptographiques devraient permettre à une partie utilisatrice de valider la véracité d’une déclaration donnée fondée sur les données d’identification personnelle et l’attestation d’attributs, sans révéler aucune donnée sur laquelle cette déclaration est fondée, préservant ainsi la vie privée de l’utilisateur. (15) Le présent règlement définit les conditions harmonisées pour l’établissement d’un cadre pour les portefeuilles européens d’identité numérique devant être fournis par les États membres. Tous les citoyens de l’Union, et les résidents de l’Union au sens du droit national, devraient être habilités à demander, sélectionner, combiner, stocker, supprimer, partager et présenter de manière sécurisée des données relatives à leur identité et à demander l’effacement de leurs données à caractère personnel d’une manière conviviale et pratique, sous le contrôle exclusif de l’utilisateur, tout en permettant la divulgation sélective de données à caractère personnel. Le présent règlement reflète les valeurs européennes partagées et respecte les droits fondamentaux, les garanties et la responsabilité juridique, protégeant ainsi les sociétés démocratiques, les citoyens de l’Union et les résidents de l’Union. Il convient de développer les technologies utilisées pour parvenir à ces objectifs de manière à atteindre le niveau le plus élevé de sécurité, de respect de la vie privée, de confort d’utilisation, d’accessibilité et de facilité d’utilisation, ainsi qu’une interopérabilité homogène. Les États membres devraient garantir à tous leurs citoyens et résidents l’égalité d’accès à l’identification électronique. Les États membres ne devraient pas limiter, directement ou indirectement, l’accès aux services publics ou privés des personnes physiques ou morales qui ne choisissent pas d’utiliser des portefeuilles européens d’identité numérique, et devraient mettre à disposition des solutions de substitution appropriées. (9) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39). ELI: http://data.europa.eu/eli/reg/2024/1183/oj FR 3/56 FR 4/56 JO L du 30.4.2024 (16) Les États membres devraient s’appuyer sur les possibilités offertes par le présent règlement pour fournir, sous leur responsabilité, des portefeuilles européens d’identité numérique destinés à être utilisés par les personnes physiques et morales résidant sur leur territoire. Afin d’offrir une marge de manœuvre aux États membres et de tirer parti de la technologie de pointe, le présent règlement devrait permettre que les portefeuilles européens d’identité numérique soient fournis directement par un État membre, sur mandat d’un État membre, ou indépendamment d’un État membre, tout en étant reconnus par cet État membre. (17) Aux fins de l’enregistrement, les parties utilisatrices devraient fournir les informations nécessaires pour permettre leur identification et leur authentification électroniques vis-à-vis des portefeuilles européens d’identité numérique. Lorsqu’elles déclarent leur utilisation prévue du portefeuille européen d’identité numérique, les parties utilisatrices devraient fournir des informations sur les données éventuelles qu’elles demanderont afin de fournir leurs services et sur les motifs de la demande. L’enregistrement des parties utilisatrices facilite la vérification par les États membres de la licéité des activités des parties utilisatrices au regard du droit de l’Union. L’obligation d’enregistrement prévue dans le présent règlement devrait être sans préjudice des obligations prévues par d’autres dispositions du droit de l’Union ou du droit national, par exemple en ce qui concerne les informations à fournir aux personnes concernées en vertu du règlement (UE) 2016/679. Les parties utilisatrices devraient respecter les garanties prévues par les articles 35 et 36 dudit règlement, en particulier en réalisant des analyses d’impact relatives à la protection des données et en consultant les autorités chargées de la protection des données compétentes préalablement au traitement des données lorsque les analyses d’impact relatives à la protection des données indiquent que le traitement entraînerait un risque élevé. Ces garanties devraient favoriser le traitement licite des données à caractère personnel par les parties utilisatrices, en particulier en ce qui concerne des catégories particulières de données, telles que les données de santé. L’enregistrement des parties utilisatrices est destiné à accroître la transparence et à renforcer la confiance dans l’utilisation des portefeuilles européens d’identité numérique. Il convient que l’enregistrement n’entraîne pas de coûts excessifs et soit proportionné aux risques associés afin d’assurer son adoption par les prestataires de services. Dans ce contexte, l’enregistrement devrait prévoir l’utilisation de procédures automatisées, y compris le recours à des registres existants et leur utilisation par les États membres, et il ne devrait pas comporter de procédure d’autorisation préalable. La procédure d’enregistrement devrait permettre une diversité de cas d’utilisation qui peuvent varier en ce qui concerne le mode de fonctionnement, que ce soit en ligne ou en mode hors ligne, ou l’exigence d’authentifier les dispositifs aux fins de l’interface avec le portefeuille européen d’identité numérique. L’enregistrement devrait s’appliquer exclusivement aux parties utilisatrices fournissant des services au moyen d’une interaction numérique. (18) La protection des citoyens de l’Union et des résidents de l’Union contre l’utilisation non autorisée ou frauduleuse des portefeuilles européens d’identité numérique revêt la plus haute importance pour assurer la confiance dans les portefeuilles européens d’identité numérique et leur adoption à grande échelle. Les utilisateurs devraient bénéficier d’une protection effective contre de telles utilisations abusives. En particulier, lorsque les faits constitutifs d’une utilisation frauduleuse ou autrement illégale d’un portefeuille européen d’identité numérique sont établis par une autorité judiciaire nationale dans le cadre d’une autre procédure, les organes de contrôle responsables des émetteurs de portefeuilles européens d’identité numérique devraient, après notification, prendre les mesures nécessaires pour faire en sorte que l’enregistrement de la partie utilisatrice et l’inclusion des parties utilisatrices dans le mécanisme d’authentification soient révoqués ou suspendus jusqu’à ce que l’autorité notifiante confirme qu’il a été remédié aux irrégularités constatées. (19) Tous les portefeuilles européens d’identité numérique devraient permettre aux utilisateurs de s’identifier et de s’authentifier par voie électronique en ligne et en mode hors ligne, par-delà les frontières, pour accéder à un large éventail de services publics et privés. Sans préjudice des prérogatives des États membres en ce qui concerne l’identification de leurs citoyens et résidents, les portefeuilles européens d’identité numérique peuvent aussi répondre aux besoins institutionnels des administrations publiques, des organisations internationales et des institutions, organes et organismes de l’Union. L’authentification en mode hors ligne serait importante dans de nombreux secteurs, y compris dans le secteur de la santé, où les services sont souvent fournis par interaction directe et où la vérification de l’authenticité des prescriptions électroniques devrait pouvoir être effectuée à l’aide de codes QR ou de technologies similaires. En s’appuyant sur le niveau de garantie élevé en ce qui concerne les schémas d’identification électronique, les portefeuilles européens d’identité numérique devraient bénéficier du potentiel offert par des solutions infalsifiables, telles que des éléments sécurisés, pour se conformer aux exigences de sécurité prévues par le présent règlement. Les portefeuilles européens d’identité numérique devraient aussi permettre aux utilisateurs de créer et d’utiliser des signatures et cachets électroniques qualifiés qui sont acceptés dans toute l’Union. Une fois enrôlées dans un portefeuille européen d’identité numérique, les personnes physiques devraient pouvoir utiliser celui-ci pour signer au moyen de signatures électroniques qualifiées, par défaut et gratuitement, sans devoir passer par des procédures administratives supplémentaires. Les utilisateurs devraient pouvoir signer ou apposer des cachets sur des déclarations ou attributs autodéclarés. Afin de permettre aux personnes et aux entreprises de toute l’Union de bénéficier des avantages liés à la simplification et à la réduction des coûts, notamment en accordant des pouvoirs de représentation et des mandats électroniques, les États membres devraient fournir des portefeuilles européens d’identité numérique qui reposent sur des normes communes et des spécifications techniques afin de garantir une interopérabilité homogène et d’accroître dûment la sécurité informatique, de renforcer la résilience face aux cyberattaques et de réduire ainsi significativement les risques potentiels que présente la transition numérique en cours pour les citoyens et résidents de l’Union et les entreprises. Seules les autorités compétentes des États membres ELI: http://data.europa.eu/eli/reg/2024/1183/oj JO L du 30.4.2024 FR peuvent établir l’identité d’une personne avec un niveau élevé de fiabilité et, partant, garantir que la personne revendiquant ou affirmant une identité particulière est effectivement la personne qu’elle prétend être. Il est donc nécessaire que la fourniture des portefeuilles européens d’identité numérique repose sur l’identité juridique des citoyens de l’Union et des résidents de l’Union ou des personnes morales. Le recours à l’identité juridique ne devrait pas empêcher les utilisateurs de portefeuilles européens d’identité numérique d’accéder aux services sous un pseudonyme, dès lors que l’identité juridique n’est pas requise pour l’authentification. La confiance dans les portefeuilles européens d’identité numérique serait renforcée si les entités qui les délivrent et les gèrent étaient tenues de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir le niveau de sécurité le plus élevé qui soit proportionné aux risques posés pour les droits et libertés des personnes physiques, conformément au règlement (UE) 2016/679. (20) L’utilisation d’une signature électronique qualifiée à des fins non professionnelles devrait être gratuite pour toutes les personnes physiques. Les États membres devraient avoir la possibilité de prévoir des mesures pour empêcher l’utilisation gratuite de signatures électroniques qualifiées à des fins professionnelles par des personnes physiques, tout en veillant à ce que ces mesures soient proportionnées aux risques identifiés et justifiées. (21) Il est utile de faciliter l’adoption et l’utilisation des portefeuilles européens d’identité numérique en les intégrant de manière homogène à l’écosystème des services numériques publics et privés déjà mis en œuvre au niveau national, local ou régional. Pour atteindre cet objectif, les États membres devraient avoir la possibilité de prévoir des mesures juridiques et organisationnelles en vue d’offrir une plus grande souplesse aux fournisseurs de portefeuilles européens d’identité numérique et de permettre des fonctionnalités supplémentaires des portefeuilles européens d’identité numérique par rapport à celles prévues par le présent règlement, y compris au moyen d’une interopérabilité accrue avec les moyens d’identification électronique nationaux existants. De telles fonctionnalités supplémentaires ne devraient en aucun cas nuire à la fourniture des fonctions essentielles des portefeuilles européens d’identité numérique prévues par le présent règlement, ni conduire à la promotion de solutions nationales existantes aux dépens des portefeuilles européens d’identité numérique. Étant donné qu’elles dépassent le cadre du présent règlement, ces fonctionnalités supplémentaires ne bénéficient pas des dispositions relatives au recours transfrontière aux portefeuilles européens d’identité numérique prévues dans le présent règlement. (22) Les portefeuilles européens d’identité numérique devraient comporter une fonctionnalité permettant de générer des pseudonymes choisis et gérés par l’utilisateur pour s’authentifier lorsqu’ils accèdent à des services en ligne. (23) Afin d’atteindre un niveau élevé de sécurité et de fiabilité, le présent règlement établit les exigences applicables aux portefeuilles européens d’identité numérique. La conformité des portefeuilles européens d’identité numérique avec ces exigences devrait être certifiée par des organismes d’évaluation de la conformité accrédités désignés par les États membres. (24) Afin d’éviter les approches divergentes et d’harmoniser la mise en œuvre des exigences établies par le présent règlement, la Commission devrait, aux fins de certifier les portefeuilles européens d’identité numérique, adopter des actes d’exécution visant à établir une liste de normes de référence et, lorsque cela est nécessaire, établir des spécifications et des procédures aux fins de formuler les spécifications techniques détaillées de ces exigences. Dans la mesure où la certification de la conformité des portefeuilles européens d’identité numérique avec les exigences de cybersécurité applicables n’est pas couverte par les schémas de certification de cybersécurité existants visés dans le présent règlement, et en ce qui concerne les exigences autres que les exigences de cybersécurité applicables aux portefeuilles européens d’identité numérique, il convient que les États membres établissent des schémas de certification nationaux conformément aux exigences harmonisées établies dans le présent règlement et adoptées en vertu de celui-ci. Les États membres devraient transmettre leurs projets de schémas de certification nationaux au groupe de coopération européen en matière d’identité numérique, lequel devrait pouvoir émettre des avis et des recommandations. (25) La certification de conformité avec les exigences de cybersécurité établies dans le présent règlement devrait, lorsque ceux-ci sont disponibles, s’appuyer sur les schémas européens de certification de cybersécurité applicables établis en vertu du règlement (UE) 2019/881 du Parlement européen et du Conseil (10), qui instaure un cadre européen de certification de cybersécurité facultatif pour les produits, processus et services TIC. (10) Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15). ELI: http://data.europa.eu/eli/reg/2024/1183/oj 5/56 FR 6/56 JO L du 30.4.2024 (26) Afin d’évaluer et d’atténuer en permanence les risques liés à la sécurité, les portefeuilles européens d’identité numérique certifiés devraient faire l’objet d’évaluations régulières des vulnérabilités visant à déceler toute vulnérabilité dans les composants certifiés liés au produit, les composants certifiés liés aux processus et les composants certifiés liés au service du portefeuille européen d’identité numérique. (27) En protégeant les utilisateurs et les entreprises contre les risques de cybersécurité, les exigences essentielles en matière de cybersécurité énoncées dans le présent règlement contribuent également à renforcer la protection des données à caractère personnel et de la vie privée des personnes. Des synergies en matière de normalisation et de certification sur les aspects de la cybersécurité devraient être envisagées dans le cadre de la coopération entre la Commission, les organisations européennes de normalisation, l’Agence de l’Union européenne pour la cybersécurité (ENISA), le comité européen de la protection des données institué par le règlement (UE) 2016/679 et les autorités nationales de contrôle de la protection des données. (28) L’enrôlement des citoyens de l’Union et des résidents dans l’Union pour le portefeuille européen d’identité numérique devrait être facilité en s’appuyant sur des moyens d’identification électronique délivrés au niveau de garantie élevé. Il convient de n’avoir recours aux moyens d’identification électronique délivrés au niveau de garantie substantiel que lorsque des spécifications techniques harmonisées et des procédures harmonisées utilisant des moyens d’identification électronique délivrés au niveau de garantie substantiel combinés à des moyens complémentaires de vérification de l’identité permettront de satisfaire aux exigences énoncées dans le présent règlement en ce qui concerne le niveau de garantie élevé. Ces moyens complémentaires devraient être fiables et faciles à utiliser et pourraient se fonder sur la possibilité d’utiliser des procédures d’enrôlement à distance, des certificats qualifiés appuyés par des signatures électroniques qualifiées, une attestation électronique d’attributs qualifiée ou une combinaison de ces éléments. Afin de garantir une adoption suffisante des portefeuilles européens d’identité numérique, il convient de définir, dans des actes d’exécution, des spécifications techniques harmonisées et des procédures harmonisées pour l’enrôlement des utilisateurs à l’aide de moyens d’identification électronique, y compris ceux délivrés au niveau de garantie substantiel. (29) L’objectif du présent règlement est de fournir à l’utilisateur un portefeuille européen d’identité numérique entièrement mobile, sécurisé et convivial. À titre de mesure transitoire jusqu’à la mise à disposition de solutions infalsifiables certifiées, telles que des éléments sécurisés dans les appareils des utilisateurs, les portefeuilles européens d’identité numérique devraient pouvoir s’appuyer sur des éléments sécurisés externes certifiés pour la protection du contenu cryptographique et d’autres données sensibles ou sur des moyens d’identification électroniques notifiés au niveau de garantie élevé afin de démontrer la conformité avec les exigences pertinentes du présent règlement en ce qui concerne le niveau de garantie du portefeuille européen d’identité numérique. Le présent règlement devrait s’entendre sans préjudice des conditions nationales en ce qui concerne la délivrance et l’utilisation d’un élément sécurisé externe certifié lorsque la mesure transitoire dépend d’un tel élément. (30) Les portefeuilles européens d’identité numérique devraient garantir le niveau de protection et de sécurité des données le plus élevé possible aux fins de l’identification et de l’authentification électroniques pour faciliter l’accès aux services publics et privés, que ces données soient stockées localement ou à l’aide de solutions en nuage, en tenant dûment compte des différents niveaux de risque. (31) Les portefeuilles européens d’identité numérique devraient être sécurisés dès la conception et devraient mettre en œuvre des éléments de sécurité avancés afin d’offrir une protection contre l’usurpation d’identité et autre vol de données, le déni de service et toute autre cybermenace. Cette sécurité devrait comprendre des méthodes de chiffrement et de stockage de pointe, qui ne sont accessibles qu’à l’utilisateur et ne peuvent être déchiffrées que par lui, et qui s’appuient sur une communication chiffrée de bout en bout avec les autres portefeuilles européens d’identité numérique et les parties utilisatrices. En outre, les portefeuilles européens d’identité numérique devraient exiger une confirmation sécurisée, explicite et active par l’utilisateur pour les opérations effectuées au moyen des portefeuilles européens d’identité numérique. (32) L’utilisation gratuite de portefeuilles européens d’identité numérique ne devrait pas entraîner le traitement de données au-delà des données qui sont nécessaires à la fourniture des services liés aux portefeuilles européens d’identité numérique. Le présent règlement ne devrait pas autoriser le traitement de données à caractère personnel stockées dans le portefeuille européen d’identité numérique ou résultant de l’utilisation de celui-ci par le fournisseur du portefeuille européen d’identité numérique à des fins autres que la fourniture de services liés aux portefeuilles européens d’identité numérique. Afin d’assurer la protection de la vie privée, les fournisseurs de portefeuilles européens d’identité numérique devraient veiller à ce que les données ne soient pas observables, en ne collectant pas de données et en n’ayant pas connaissance des transactions effectuées par les utilisateurs du portefeuille européen d’identité numérique. Ce caractère non observable signifie que les fournisseurs ne sont pas en mesure de voir le détail des transactions effectuées par l’utilisateur. Toutefois, dans des cas particuliers, sur la base du consentement préalable explicite de l’utilisateur pour chacun de ces cas particuliers, et dans le plein respect du règlement (UE) 2016/679, les ELI: http://data.europa.eu/eli/reg/2024/1183/oj JO L du 30.4.2024 FR fournisseurs de portefeuilles européens d’identité numérique pourraient se voir accorder l’accès aux informations nécessaires à la fourniture d’un service particulier lié aux portefeuilles européens d’identité numérique. (33) La transparence des portefeuilles européens d’identité numérique et la responsabilité des fournisseurs sont des éléments essentiels pour créer une confiance sociale et susciter l’acceptation du cadre. Par conséquent, le fonctionnement des portefeuilles européens d’identité numérique devrait être transparent et, en particulier, permettre un traitement vérifiable des données à caractère personnel. À cette fin, les États membres devraient divulguer le code source des composants logiciels de l’application utilisateur des portefeuilles européens d’identité numérique, y compris ceux qui sont liés au traitement des données à caractère personnel et des données des personnes morales. La publication de ce code source sous une licence à code source ouvert (open source) devrait permettre à la société, y compris les utilisateurs et les développeurs, de comprendre le fonctionnement du code, d’en faire l’audit et de l’examiner. Cela permettrait d’accroître la confiance des utilisateurs dans l’écosystème et de contribuer à la sécurité des portefeuilles européens d’identité numérique en offrant à quiconque la possibilité de signaler des vulnérabilités et des erreurs dans le code. Dans l’ensemble, cela devrait inciter les fournisseurs à fournir et à maintenir un produit hautement sécurisé. Toutefois, dans certains cas, la divulgation du code source des bibliothèques utilisées, du canal de communication ou d’autres éléments qui ne sont pas hébergés sur le dispositif de l’utilisateur pourrait être limitée par les États membres, pour des motifs dûment justifiés, en particulier à des fins de sécurité publique. (34) L’utilisation de portefeuilles européens d’identité numérique ainsi que l’arrêt de leur utilisation devraient constituer un droit et un choix exclusif des utilisateurs. Les États membres devraient mettre au point des procédures simples et sécurisées permettant aux utilisateurs de demander la révocation immédiate de la validité des portefeuilles européens d’identité numérique, notamment en cas de perte ou de vol. Lors du décès de l’utilisateur ou de la cessation d’activité d’une personne morale, il devrait exister un mécanisme permettant à l’autorité responsable du règlement de la succession de la personne physique ou des actifs de la personne morale de demander la révocation immédiate des portefeuilles européens d’identité numérique. (35) Afin de favoriser l’adoption des portefeuilles européens d’identité numérique et l’utilisation accrue des identités numériques, les États membres ne devraient pas seulement promouvoir les avantages des services concernés, mais ils devraient également, en coopération avec le secteur privé, les chercheurs et le monde universitaire, élaborer des programmes de formation visant à renforcer les compétences numériques de leurs citoyens et résidents, en particulier pour les groupes vulnérables, tels que les personnes handicapées et les personnes âgées. Les États membres devraient également sensibiliser aux avantages et aux risques des portefeuilles européens d’identité numérique au moyen de campagnes de communication. (36) Afin de veiller à ce que le cadre européen relatif à une identité numérique soit ouvert à l’innovation et aux évolutions technologiques, et capable de résister à l’épreuve du temps, les États membres sont encouragés, conjointement, à mettre en place des «bacs à sable» pour mettre à l’essai des solutions innovantes dans un environnement contrôlé et sécurisé, en particulier dans le but d’améliorer la fonctionnalité, la protection des données à caractère personnel, la sécurité et l’interopérabilité des solutions, et d’inspirer les futures mises à jour des références techniques et des exigences légales. Cet environnement devrait favoriser la participation des PME, des start-up et des innovateurs et chercheurs, ainsi que des parties prenantes concernées du secteur. Ces initiatives devraient contribuer à la conformité réglementaire et à la robustesse technique des portefeuilles européens d’identité numérique devant être fournis aux citoyens de l’Union et aux résidents de l’Union ainsi qu’à renforcer cette conformité et cette robustesse, ce qui permettra de prévenir le développement de solutions qui ne respectent pas le droit de l’Union en matière de protection des données ou qui présentent des vulnérabilités en matière de sécurité. (37) Le règlement (UE) 2019/1157 du Parlement européen et du Conseil (11) renforce la sécurité des cartes d’identité par la mise en place d’éléments de sécurité renforcés au plus tard en août 2021. Les États membres devraient envisager la possibilité de notifier ces cartes dans le cadre des schémas d’identification électronique afin d’étendre la disponibilité transfrontière des moyens d’identification électronique. (38) Le processus de notification des schémas d’identification électronique devrait être simplifié et accéléré afin de promouvoir l’accès à des solutions d’authentification et d’identification pratiques, fiables, sécurisées et innovantes et, le cas échéant, d’encourager les fournisseurs d’identité privés à proposer des schémas d’identification électronique aux autorités des États membres pour notification en tant que schémas nationaux d’identification électronique au titre du règlement (UE) no 910/2014. (11) Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation (JO L 188 du 12.7.2019, p. 67). ELI: http://data.europa.eu/eli/reg/2024/1183/oj 7/56 FR 8/56 JO L du 30.4.2024 (39) La rationalisation des procédures actuelles de notification et d’examen par les pairs empêchera les approches hétérogènes de l’évaluation des différents schémas d’identification électronique notifiés et facilitera l’instauration de la confiance entre les États membres. De nouveaux mécanismes simplifiés sont destinés à favoriser la coopération entre les États membres en ce qui concerne la sécurité et l’interopérabilité de leurs schémas d’identification électronique notifiés. (40) Les États membres devraient bénéficier de nouveaux outils souples pour ce qui est de garantir le respect des exigences du présent règlement et des actes d’exécution adoptés en vertu de celui-ci. Le présent règlement devrait permettre aux États membres d’utiliser les rapports et évaluations, réalisés par des organismes d’évaluation de la conformité accrédités, comme cela est prévu dans le cadre des schémas de certification à mettre en place au niveau de l’Union au titre du règlement (UE) 2019/881, afin d’étayer leurs demandes concernant l’alignement des schémas ou de certaines parties de ceux-ci avec le règlement (UE) no 910/2014. (41) Les prestataires de services publics utilisent les données d’identification personnelle rendues disponibles par des moyens d’identification électronique au titre du règlement (UE) no 910/2014 afin d’établir une correspondance entre l’identité électronique des utilisateurs d’autres États membres et les données d’identification personnelle fournies à ces utilisateurs dans l’État membre qui procède à la mise en correspondance transfrontière des identités. Toutefois, dans de nombreux cas, malgré l’utilisation de l’ensemble minimal de données fourni au titre des schémas d’identification électronique notifiés, des informations supplémentaires sur l’utilisateur et des procédures d’identification uniques complémentaires spécifiques devant être menées au niveau national sont nécessaires pour assurer la mise en correspondance correcte des identités lorsque les États membres agissent en tant que parties utilisatrices. Afin de rendre encore plus facile l’utilisation des moyens d’identification électronique, de fournir de meilleurs services publics en ligne et de renforcer la sécurité juridique en ce qui concerne l’identité électronique des utilisateurs, le règlement (UE) no 910/2014 devrait exiger …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.