📄 Texte de loi
Projet de loi portant mise en œuvre du règlement (UE) 2024/1183 du Parlement
européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n° 910/2014
en ce qui concerne l’établissement du cadre européen relatif à une identité
numérique et portant :
1° modification de la loi modifiée du 14 août 2000 relative au commerce
électronique ;
2° modification de la loi modifiée du 4 juillet 2014 portant réorganisation de
l’ILNAS
Texte du projet
Nous Guillaume, Grand-Duc de Luxembourg, Duc de Nassau,
Vu le règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le
règlement (UE) n° 910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité
numérique ;
Le Conseil d’État entendu ;
Vu l’adoption par la Chambre des Députés ;
Vu la décision de la Chambre des Députés du … et celle du Conseil d’État du … portant qu’il n’y pas lieu à
second vote ;
Avons ordonné et ordonnons :
Chapitre 1er – Modification de la loi modifiée du 14 août 2000 relative au commerce électronique
Art. 1er. L’article 1er de la loi modifiée du 14 août 2000 relative au commerce électronique, est modifié
comme suit :
1° Au paragraphe 1er, point a), les mots « (ci-après « règlement (UE) n°910/2014 ») » sont ajoutés après
les mots « abrogeant la directive 1999/93/CE ; ».
2° Au paragraphe 1er, sont insérés deux nouveaux points a)bis et a)ter, libellés comme suit :
« a)bis « attestation électronique d’attributs » : l’attestation électronique d’attributs au sens du
règlement (UE) n° 910/2014 ;
a)ter « attestation électronique d’attributs qualifiée » : l’attestation électronique d’attributs qualifiée
au sens du règlement (UE) n° 910/2014 ; ».
1
Art. 2. Au titre II, chapitre 2, de la même loi, l’intitulé est remplacé comme suit : « Chapitre 2. Des services
de confiance, des prestataires de services de confiance, et des fournisseurs d’attestations électroniques
d’attributs ».
Art. 3. Au titre II, chapitre 2, section 2, de la même loi, l’intitulé est remplacé par le texte suivant : « Section
2. Des obligations des prestataires de services de confiance, des fournisseurs d’attestations électroniques
d’attributs et de certains titulaires de certificats et d’attestations électroniques d’attributs ».
Art. 4. À l’article 19, paragraphe 4, de la même loi, les mots « 45bis, paragraphe 3 » sont remplacés par
les mots « 34bis, paragraphe 1er ».
Art. 5. L’article 21 de la même loi est modifié comme suit :
1° L’intitulé est remplacé par le texte suivant :
« Art. 21. Des obligations du titulaire d’un certificat ou d’une attestation électronique d’attributs ».
2° Il est inséré un nouveau paragraphe 2bis libellé comme suit :
« (2bis) En cas de perte de la conformité à la réalité des informations contenues dans l’attestation
électronique d’attributs disposant d’une période de validité supérieure à vingt-quatre heures et
fournie par un fournisseur d’attestations électroniques d’attributs qualifiées ou par un fournisseur
d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable
d’une source authentique ou pour son compte, le titulaire est tenu de faire révoquer
immédiatement l’attestation électronique d’attributs conformément à l’article 4 du règlement
d’exécution (UE) 2025/1569 de la Commission du 29 juillet 2025 portant modalités d’application du
règlement (UE) n° 910/2014. ».
Art. 6. À la suite de l’article 26 de la même loi, il est inséré un nouvel article 26bis, libellé comme suit :
« Art. 26bis. De la révocation des attestations électroniques d’attributs
(1) Le fournisseur d’attestations électroniques d’attributs informe le titulaire de la révocation d’une
attestation électronique d’attributs délivrée par lui dans les meilleurs délais et motive sa décision.
(2) Lorsque la période de validité d’une attestation fournie par un fournisseur d’attestations
électroniques d’attributs qualifiées ou un fournisseur d’attestations électroniques d’attributs
délivrées par un organisme du secteur public responsable d’une source authentique ou pour son
compte est supérieure à vingt-quatre heures, le fournisseur de cette attestation la révoque
immédiatement au moins dans les cas suivants :
1° il découvre ou est informé que l’attestation a été constituée sur la base d’informations erronées
ou falsifiées, que les informations contenues dans l’attestation ne sont plus conformes à la
réalité ou que l’attestation a été utilisée frauduleusement ;
2° le fournisseur est informé du décès de la personne physique ou de la dissolution de la personne
morale qui en est le titulaire ;
3° la révocation de l’attestation a été ordonnée par une juridiction ;
2
4° l’ILNAS retire le statut qualifié au fournisseur d’attestations électroniques d’attributs qualifiées
ou au service de confiance qualifié sous lequel l’attestation a été délivrée, sauf dérogation de
l’ILNAS ;
5° l’ILNAS demande la révocation de l’attestation électronique d’attributs délivrée par un
fournisseur d’attestations d’attributs qualifiées, à l’exclusion des fournisseurs d’attestations
électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source
authentique ou pour son compte, pour non-respect des exigences de la présente loi ou du
règlement (UE) n° 910/2014. ».
Art. 7. L’article 29 de la même loi est modifié comme suit :
1° Au paragraphe 1er, les mots « du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification
électronique et les services de confiance pour les transactions électroniques au sein du marché
intérieur et abrogeant la directive 1999/93/CE, ci-après « règlement (UE) n° 910/2014 », » sont
supprimés.
2° Il est inséré un nouveau paragraphe 4bis libellé comme suit :
« (4bis) Lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel
ont été violées par un prestataire de services de confiance qualifié, l’ILNAS, conformément à l’article
20, paragraphe 2, du règlement (UE) n° 910/2014, informe, dans les meilleurs délais, l’autorité de
contrôle compétente instituée en vertu de l’article 51 du règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du
traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la
directive 95/46/CE, ci-après « règlement (UE) 2016/679 ». ».
3° Il est inséré un nouveau paragraphe 4ter libellé comme suit :
« (4ter) Lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel
ont été violées, et en cas d’atteintes à la sécurité dont il apparaît qu’elles constituent des violations de
données à caractère personnel, l’ILNAS, conformément à l’article 46ter, paragraphe 4, point f) du
règlement (UE) n°910/2014, coopère avec les autorités de contrôle compétentes instituées en vertu
de l’article 51 du règlement (UE) 2016/679, en particulier en les en informant, dans les meilleurs
délais. ».
Art. 8. L’article 29bis de la même loi est abrogé.
Art. 9. L’article 32 de la même loi est modifié comme suit :
1° L’intitulé est remplacé comme suit : « De la modification, de l’arrêt et du transfert des activités ».
2° Au paragraphe 1er, est inséré un nouvel alinéa 3 libellé comme suit : « Il informe l’ILNAS au moins un
mois avant la mise en œuvre de toute modification importante dans la fourniture de ses services de
confiance qualifiés. Les règlements d’exécution pris en vertu de l’article 24, paragraphe 5 du règlement
(UE) n° 910/2014 sont à considérer pour déterminer s’il doit informer l’ILNAS d’une modification dans
la fourniture de ses services de confiance qualifiés. ».
3
3° Le paragraphe 2, est remplacé comme suit :
« (2) Le prestataire de services de confiance qualifié peut transférer à un autre prestataire de services de
confiance qualifié tout ou partie de ses activités. Il transmet au prestataire de services de confiance
qualifié, qui reprend tout ou partie de ses activités, toutes les informations et données nécessaires pour
assurer que le transfert des activités et les services de confiances qualifiés transférés continuent à
répondre à toutes les exigences du règlement (UE) n° 910/2014 de manière ininterrompue. En particulier,
il transmet tous ses propres certificats en relation avec les services de confiances qualifiés transférés,
ensemble avec les clés privées y associées, au prestataire de services de confiance qualifié, qui reprend
tout ou partie de ses activités.
Lors du transfert des certificats qualifiés, le prestataire de services de confiance qualifié se conforme aux
exigences suivantes :
a) Le prestataire de services de confiance qualifié avertit chaque titulaire de certificat qualifié au moins
un mois à l’avance qu’il envisage de transférer les certificats qualifiés à un autre prestataire de services
de confiance qualifié ;
b) Le prestataire de services de confiance qualifié précise aux titulaires de certificats qualifiés, l’identité
du prestataire de services de confiance qualifié auquel il décide de transférer les certificats qualifiés ;
c) Le prestataire de services de confiance qualifié informe le titulaire de certificat qualifié du droit qu’il
dispose de refuser le transfert et lui indique les délais et modalités selon lesquels il peut exprimer un
tel refus. En cas de refus du titulaire de certificat qualifié dans le délai prévu, le prestataire de services
de confiance qualifié révoque le certificat qualifié du titulaire de certificat qualifié ;
d) Le prestataire de services de confiance qualifié transmet toutes les informations visées à l’article 24,
paragraphe 2, lettre h), du règlement (UE) n° 910/2014 au prestataire de services de confiance qualifié
auquel il décide de transférer les certificats qualifiés. ».
Art. 10. L’article 34bis de la même loi est modifié comme suit :
1° Au paragraphe 1er, l’alinéa 1er, est remplacé par la disposition suivante : « (1) L’ILNAS peut infliger à
tout prestataire de services de confiance, une amende allant de 250 euros à 5.000.000 euros lorsqu’il
s’agit d’une personne physique, ou d’une amende de 250 euros jusqu’à 5 000 000 euros ou 1 % du
chiffre d’affaires annuel mondial total de l’entreprise à laquelle le prestataire de services de confiance
appartenait lors de l’exercice précédant l’année au cours de laquelle l’infraction a été commise, le
montant le plus élevé étant retenu, lorsque le prestataire de services de confiance est une personne
morale, qui : » .
2° Au paragraphe 1er, les points a), b) et d) sont supprimés.
3° Au paragraphe 1er, point e), le signe de ponctuation « . » est remplacé par le signe de ponctuation « ; ».
4° Au paragraphe 1er, à la suite du point e) sont insérés quatre nouvelles lettres f), g), h) et i) libellés
comme suit :
« f) utilise dans sa dénomination sociale, son nom commercial ou toute communication commerciale, la
dénomination de prestataire de services de confiance qualifié ou de service de confiance qualifié sans
être inscrite sur une liste de confiance nationale conformément à l’article 22, paragraphe 1er du règlement
(UE) n° 910/2014 ;
4
g) viole les articles 19bis, paragraphe 1er, 20, paragraphe 1er, 1bis et 2, 24, paragraphe 1er, 1bis, 1ter, 2, 3
et 4, 28, paragraphe 1er , 29, paragraphe 1bis, 29bis, paragraphe 1er, 32, paragraphe 1er et 2, 32bis,
paragraphes 1er et 2, 33, paragraphe 1er, 34, paragraphe 1er, 38, paragraphe 1er , 39, paragraphe 1er, 39bis,
40, 40bis, 42, paragraphe 1er, 44, paragraphe 1er et 2bis, 45, paragraphes 1er et 1bis, 45bis, paragraphe 1er
et 3, 45quinquies, paragraphes 1er et 2, 45octies, 45nonies, paragraphes 1er à 3, 45undecies, paragraphe
1er, 45terdecies, paragraphe 1er du règlement (UE) n° 910/2014 ;
h) viole l’article 19, paragraphe 4 ;
i) offre des prétendus services de confiance qualifiés sans être inscrit sur une des listes de confiance visées
à l’article 22, paragraphe 1er du règlement (UE) n° 910/2014. ».
5° Le paragraphe 2 est supprimé.
6° Il est inséré un nouveau paragraphe 2bis libellé comme suit :
« (2bis) L’ILNAS peut exiger que le prestataire de services de confiance qualifié qui ne satisfait pas à
l’une des exigences énoncées dans le règlement (UE) n° 910/2014, remédie à ce manquement, dans
un délai fixé par l’ILNAS.
Si ledit prestataire ne remédie pas au manquement et, le cas échéant, dans le délai fixé par l’ILNAS, ce
dernier, lorsque cela est justifié en particulier par l’ampleur, la durée et les conséquences de ce
manquement, retire le statut qualifié à ce prestataire ou au service affecté qu’il fournit. ».
7° Il est inséré un nouveau paragraphe 2ter libellé comme suit :
« (2ter) Lorsque les autorités compétentes désignées en vertu de l’article 3, alinéas 1er et 2 de la loi du
XXXX concernant des mesures destinées à assurer un niveau élevé de cybersécurité, informent l’ILNAS
que le prestataire de services de confiance qualifié ne satisfait pas à l’une des exigences prévues à
l’article 12 de la loi du XXXX concernant des mesures destinées à assurer un niveau élevé de
cybersécurité, l’ILNAS, lorsque cela est justifié en particulier par l’ampleur, la durée et les
conséquences de ce manquement, retire le statut qualifié à ce prestataire ou au service affecté qu’il
fournit. ».
8° Il est inséré un nouveau paragraphe 2quater libellé comme suit :
« (2quater) Lorsque les autorités de contrôle instituées en vertu de l’article 51 du règlement (UE)
2016/679, informent l’ILNAS, que le prestataire de services de confiance qualifié ne satisfait pas à l’une
des exigences prévues par ledit règlement, l’ILNAS, lorsque cela est justifié en particulier par l’ampleur,
la durée et les conséquences de ce manquement, retire le statut qualifié à ce prestataire ou au service
affecté qu’il fournit. ».
9° Il est inséré un nouveau paragraphe 2quinquies comme suit :
« (2quinquies) L’ILNAS informe le prestataire de services de confiance qualifié du retrait de son statut
qualifié ou du retrait du statut qualifié du service concerné. L’ILNAS informe les autorités compétentes
désignées en vertu de l’article 3, alinéas 1er et 2 de la loi du XXXX concernant des mesures destinées à
assurer un niveau élevé de cybersécurité de ces retraits. ».
10° Il est inséré un nouveau paragraphe 3bis libellé comme suit :
« (3bis) Le recouvrement des amendes et de toutes autres créances est confié à l’Administration de
l’enregistrement, des domaines et de la TVA. Il se fait comme en matière d’enregistrement. ».
5
Art. 11. L’article 45bis de la même loi est abrogé.
Chapitre 2 – Modification de la loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS
Art. 12. La loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS est modifiée comme suit :
1° Au chapitre II dans l’intitulé de section 3, le mot « du » est remplacé par les mots « de l’ » ;
2° L’article 4, paragraphe 1er, est modifié comme suit :
a) À l’alinéa 1er, le mot « du » est remplacé par les mots « de l’ » ;
b) Au point 3, les mots « tel que modifié, » sont insérés après les mots « et abrogeant la directive
1999/93/CE, » ;
c) Au point 4, les mots « l’article 17 » sont remplacés par les mots « l’article 46ter » ;
d) Au point 6, le signe de ponctuation « . » est remplacé par le signe de ponctuation « ; » ;
e) Après le point 6° sont insérés deux nouveaux points 7° et 8° libellés comme suit :
« 7° à recueillir des statistiques relatives au fonctionnement des services de confiance qualifiés
fournis au Grand-Duché de Luxembourg et à établir un rapport annuel à soumettre à la
Commission européenne conformément à l’article 48bis du règlement (UE) n° 910/2014. Les
statistiques recueillies sont publiées sur le site web de l’ILNAS et sur la plateforme de données
ouvertes luxembourgeoise (data.public.lu) ;
8° à notifier à la Commission, dans les meilleurs délais, les noms, adresses et informations
d’accréditation des organismes d’évaluation de la conformité conformément à l’article 20, 1ter
du règlement (UE) n° 910/2014 ainsi que toute modification ultérieure qui leur est apportée. ».
3° À l’article 14, paragraphe 1er, les mots «, et la loi modifiée du 14 août 2000 relative au commerce
électronique et ses règlements d’exécution, » sont insérés après les mots « la loi modifiée du 17 mai
1882 sur les poids et mesures et ses règlements d’exécution ».
4°
À l’article 17quater, paragraphe 2, les mots suivants « en vertu du présent article » sont supprimés.
6
Journal officiel
de l’Union européenne
FR
Série L
2024/1183
30.4.2024
RÈGLEMENT (UE) 2024/1183 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 11 avril 2024
modifiant le règlement (UE) no 910/2014 en ce qui concerne l’établissement du cadre européen relatif
à une identité numérique
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis du Comité économique et social européen (1),
vu l’avis du Comite des régions (2),
statuant conformément à la procédure législative ordinaire (3),
considérant ce qui suit:
(1)
Dans sa communication du 19 février 2020 intitulée «Façonner l’avenir numérique de l’Europe», la Commission
annonce une révision du règlement (UE) no 910/2014 du Parlement européen et du Conseil (4) en vue d’en améliorer
l’efficacité, d’étendre ses avantages au secteur privé et de promouvoir une identité numérique fiable pour tous les
Européens.
(2)
Dans ses conclusions des 1er et 2 octobre 2020, le Conseil européen a invité la Commission à proposer la mise en
place, à l’échelle de l’UE, d’un cadre pour une identification électronique publique sécurisée, y compris des signatures
numériques interopérables, qui permette aux personnes d’exercer un contrôle sur leur identité et leurs données en
ligne et donne accès à des services numériques publics, privés et transfrontières.
(3)
Le programme d’action pour la décennie numérique à l’horizon 2030, établi par la décision (UE) 2022/2481 du
Parlement européen et du Conseil (5), fixe les objectifs et cibles numériques d’un cadre de l’Union qui, d’ici à 2030,
visent à conduire au déploiement à grande échelle d’une identité numérique fiable utilisée sur une base volontaire et
contrôlée par l’utilisateur, qui soit reconnue dans l’ensemble de l’Union et permette à chaque utilisateur d’avoir un
contrôle sur ses données dans le cadre de ses interactions en ligne.
(4)
La «Déclaration européenne sur les droits et principes numériques pour la décennie numérique», proclamée par le
Parlement européen, le Conseil et la Commission (6) (ci-après dénommée «déclaration»), souligne le droit de toute
personne à avoir accès à des technologies, produits et services numériques qui sont, dès la conception, sûrs, sécurisés
et respectueux de la vie privée. Cela signifie notamment veiller à offrir à toutes les personnes vivant au sein de
l’Union une identité numérique accessible, sûre et fiable, qui donne accès à un large éventail de services en ligne et
hors ligne, en étant protégées contre les risques liés à la cybersécurité et la cybercriminalité, y compris les violations
de données et l’usurpation ou la manipulation d’identité. La déclaration souligne également que toute personne
a droit à la protection de ses données à caractère personnel. Ce droit comprend le contrôle sur la façon dont les
données sont utilisées et sur les personnes avec qui elles sont partagées.
(1)
(2)
(3)
(4)
JO C 105 du 4.3.2022, p. 81.
JO C 61 du 4.2.2022, p. 42.
Position du Parlement européen du 29 février 2024 (non encore parue au Journal officiel) et décision du Conseil du 26 mars 2024.
Règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services
de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (JO L 257 du
28.8.2014, p. 73).
Décision (UE) 2022/2481 du Parlement européen et du Conseil du 14 décembre 2022 établissant le programme d’action pour la
décennie numérique à l’horizon 2030 (JO L 323 du 19.12.2022, p. 4).
JO C 23 du 23.1.2023, p. 1.
(5)
(6)
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
1/56
FR
JO L du 30.4.2024
(5)
Les citoyens de l’Union et les résidents de l’Union devraient avoir le droit à une identité numérique qui soit sous leur
contrôle exclusif et qui leur permette d’exercer leurs droits dans l’environnement numérique et de participer
à l’économie numérique. Pour atteindre cet objectif, il convient d’établir un cadre européen relatif à une identité
numérique permettant aux citoyens de l’Union et aux résidents de l’Union d’accéder à des services publics et privés
en ligne et hors ligne dans l’ensemble de l’Union.
(6)
Un cadre harmonisé en matière d’identité numérique devrait contribuer à créer une Union plus intégrée d’un point
de vue numérique, en réduisant les barrières numériques entre les États membres et en donnant aux citoyens de
l’Union et aux résidents de l’Union les moyens de bénéficier des avantages liés à la transition numérique, tout en
améliorant la transparence et la protection de leurs droits.
(7)
Une approche plus harmonisée de l’identification électronique devrait réduire les risques et les coûts engendrés par la
fragmentation actuelle due au recours à des solutions nationales divergentes ou, dans certains États membres,
à l’absence de telles solutions d’identification électronique. Une telle approche devrait renforcer le marché intérieur
en permettant aux citoyens de l’Union, aux résidents de l’Union, au sens du droit national, et aux entreprises de
s’identifier et de fournir une authentification de leur identité en ligne et hors ligne de manière sûre, fiable, conviviale,
pratique, accessible et harmonisée, et ce dans toute l’Union. Le portefeuille européen d’identité numérique devrait
fournir aux personnes physiques et morales dans toute l’Union un moyen d’identification électronique harmonisé
permettant l’authentification et le partage des données liées à leur identité. Chacun devrait être en mesure d’accéder
en toute sécurité aux services publics et privés en ayant recours à un écosystème amélioré de services de confiance et
à des preuves d’identité et des attestations électroniques d’attributs vérifiées, comme des qualifications académiques,
y compris les diplômes universitaires, ou autres titres éducatifs ou professionnels. Le cadre européen relatif à une
identité numérique est destiné à permettre de passer d’un recours aux seules solutions nationales d’identité
numérique à la fourniture d’attestations électroniques d’attributs valides et légalement reconnues à travers l’Union.
Les fournisseurs d’attestations électroniques d’attributs devraient bénéficier d’un ensemble de règles clair et uniforme,
tandis que les administrations publiques devraient pouvoir se fier à des documents électroniques dans un format
donné.
(8)
Plusieurs États membres ont mis en œuvre des moyens d’identification électronique et ont recours à ces moyens, qui
sont acceptés par les prestataires de services dans l’Union. En outre, des investissements ont été réalisés dans des
solutions tant nationales que transfrontalières sur la base du règlement (UE) no 910/2014, y compris pour
l’interopérabilité des schémas d’identification électronique notifiés prévus par ledit règlement. Afin d’assurer la
complémentarité et l’adoption rapide des portefeuilles européens d’identité numérique par les utilisateurs actuels des
moyens d’identification électronique notifiés et de minimiser l’incidence sur les prestataires de services existants, il
est escompté que les portefeuilles européens d’identité numérique mettent à profit l’expérience acquise avec les
moyens d’identification électronique existants et l’infrastructure des schémas d’identification électronique notifiés
déployée au niveau de l’Union et au niveau national.
(9)
Le règlement (UE) 2016/679 du Parlement européen et du Conseil (7) et, le cas échéant, la directive 2002/58/CE du
Parlement européen et du Conseil (8) s’appliquent à toutes les activités de traitement de données à caractère personnel
au titre du règlement (UE) no 910/2014. Les solutions fournies au titre du cadre d’interopérabilité prévu par le
présent règlement respectent également ces règles. Le droit de l’Union en matière de protection des données prévoit
des principes en matière de protection des données, tels que les principes de minimisation des données et de
limitation des finalités et les obligations qui y sont liées, telle que la protection des données dès la conception et par
défaut.
(10)
Pour soutenir la compétitivité des entreprises de l’Union, les prestataires de services tant en ligne qu’hors ligne
devraient pouvoir s’appuyer sur des solutions d’identité numérique reconnues dans toute l’Union, indépendamment
de l’État membre dans lequel ces solutions sont fournies, et bénéficier ainsi d’une approche harmonisée à l’échelle de
l’Union en matière de confiance, de sécurité et d’interopérabilité. Tant les utilisateurs que les prestataires de services
devraient pouvoir bénéficier d’attestations électroniques d’attributs ayant la même valeur juridique dans l’ensemble
de l’Union. Un cadre harmonisé en matière d’identité numérique est destiné à créer de la valeur économique en
facilitant l’accès aux biens et aux services, en réduisant sensiblement les coûts opérationnels liés aux procédures
d’identification et d’authentification électroniques, par exemple lors de l’enrôlement de nouveaux clients, et en
réduisant le risque de cybercriminalité, telle que l’usurpation d’identité, le vol de données et la fraude en ligne,
soutenant ainsi les gains d’efficacité et la transformation numérique en toute sécurité des micro, petites et moyennes
entreprises (PME) de l’Union.
(7)
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
(règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère
personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications
électroniques) (JO L 201 du 31.7.2002, p. 37).
(8)
2/56
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
JO L du 30.4.2024
(11)
Les portefeuilles européens d’identité numérique devraient faciliter l’application du principe de la transmission
unique d’informations, ce qui réduirait la charge administrative et soutiendrait la mobilité transfrontière des citoyens
de l’Union et des résidents de l’Union ainsi que des entreprises dans l’ensemble de l’Union, et favoriserait le
développement de services d’administration en ligne interopérables dans l’ensemble de l’Union.
(12)
Le règlement (UE) 2016/679, le règlement (UE) 2018/1725 du Parlement européen et du Conseil (9) et la directive
2002/58/CE s’appliquent au traitement de données à caractère personnel effectué en application du présent
règlement. Par conséquent, le présent règlement devrait prévoir des garanties spécifiques pour empêcher les
fournisseurs de moyens d’identification électronique et d’attestations électroniques d’attributs de combiner des
données à caractère personnel obtenues lors de la fourniture d’autres services avec des données à caractère personnel
traitées pour fournir des services relevant du champ d’application du présent règlement. Les données à caractère
personnel liées à la fourniture des portefeuilles européens d’identité numérique devraient être maintenues séparées,
de manière logique, de toute autre donnée détenue par le fournisseur du portefeuille européen d’identité numérique.
Le présent règlement ne devrait pas empêcher les fournisseurs de portefeuilles européens d’identité numérique
d’appliquer des mesures techniques supplémentaires qui contribuent à la protection des données à caractère
personnel, telles que la séparation physique des données à caractère personnel liées à la fourniture des portefeuilles
européens d’identité numérique de toute autre donnée détenue par le fournisseur. Sans préjudice du règlement (UE)
2016/679, le présent règlement précise davantage l’application des principes de limitation des finalités, de
minimisation des données et de protection des données dès la conception et par défaut.
(13)
Les portefeuilles européens d’identité numérique devraient intégrer dans leur conception une fonction de tableau de
bord commun pour garantir un niveau plus élevé de transparence, de protection de la vie privée et de contrôle des
utilisateurs sur leurs données à caractère personnel. Cette fonction devrait proposer une interface simple et
conviviale comportant une vue d’ensemble de toutes les parties utilisatrices avec lesquelles l’utilisateur partage des
données, y compris des attributs, ainsi que le type de données partagées avec chaque partie utilisatrice. Elle devrait
permettre aux utilisateurs de suivre toutes les transactions exécutées au moyen du portefeuille européen d’identité
numérique, en fournissant au moins les données suivantes: l’heure et la date de la transaction, l’identification de la
contrepartie, les données à caractère personnel demandées et les données partagées. Ces informations devraient être
conservées même si la transaction n’a pas été conclue. Il ne devrait pas être possible de contester l’authenticité des
informations contenues dans l’historique des transactions. Cette fonction devrait être active par défaut. Elle devrait
permettre aux utilisateurs de demander facilement l’effacement immédiat, par une partie utilisatrice, de données
à caractère personnel en vertu de l’article 17 du règlement (UE) 2016/679 et de signaler facilement la partie
utilisatrice à l’autorité nationale chargée de la protection des données compétente, directement par l’intermédiaire du
portefeuille européen d’identité numérique, lorsqu’une demande présumée illégale ou suspecte de données
à caractère personnel est reçue.
(14)
Les États membres devraient intégrer différentes technologies de protection de la vie privée, telles que la preuve
à divulgation nulle de connaissance, dans le portefeuille européen d’identité numérique. Ces méthodes
cryptographiques devraient permettre à une partie utilisatrice de valider la véracité d’une déclaration donnée
fondée sur les données d’identification personnelle et l’attestation d’attributs, sans révéler aucune donnée sur laquelle
cette déclaration est fondée, préservant ainsi la vie privée de l’utilisateur.
(15)
Le présent règlement définit les conditions harmonisées pour l’établissement d’un cadre pour les portefeuilles
européens d’identité numérique devant être fournis par les États membres. Tous les citoyens de l’Union, et les
résidents de l’Union au sens du droit national, devraient être habilités à demander, sélectionner, combiner, stocker,
supprimer, partager et présenter de manière sécurisée des données relatives à leur identité et à demander l’effacement
de leurs données à caractère personnel d’une manière conviviale et pratique, sous le contrôle exclusif de l’utilisateur,
tout en permettant la divulgation sélective de données à caractère personnel. Le présent règlement reflète les valeurs
européennes partagées et respecte les droits fondamentaux, les garanties et la responsabilité juridique, protégeant
ainsi les sociétés démocratiques, les citoyens de l’Union et les résidents de l’Union. Il convient de développer les
technologies utilisées pour parvenir à ces objectifs de manière à atteindre le niveau le plus élevé de sécurité, de
respect de la vie privée, de confort d’utilisation, d’accessibilité et de facilité d’utilisation, ainsi qu’une interopérabilité
homogène. Les États membres devraient garantir à tous leurs citoyens et résidents l’égalité d’accès à l’identification
électronique. Les États membres ne devraient pas limiter, directement ou indirectement, l’accès aux services publics
ou privés des personnes physiques ou morales qui ne choisissent pas d’utiliser des portefeuilles européens d’identité
numérique, et devraient mettre à disposition des solutions de substitution appropriées.
(9)
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre
circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018,
p. 39).
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
FR
3/56
FR
4/56
JO L du 30.4.2024
(16)
Les États membres devraient s’appuyer sur les possibilités offertes par le présent règlement pour fournir, sous leur
responsabilité, des portefeuilles européens d’identité numérique destinés à être utilisés par les personnes physiques et
morales résidant sur leur territoire. Afin d’offrir une marge de manœuvre aux États membres et de tirer parti de la
technologie de pointe, le présent règlement devrait permettre que les portefeuilles européens d’identité numérique
soient fournis directement par un État membre, sur mandat d’un État membre, ou indépendamment d’un État
membre, tout en étant reconnus par cet État membre.
(17)
Aux fins de l’enregistrement, les parties utilisatrices devraient fournir les informations nécessaires pour permettre
leur identification et leur authentification électroniques vis-à-vis des portefeuilles européens d’identité numérique.
Lorsqu’elles déclarent leur utilisation prévue du portefeuille européen d’identité numérique, les parties utilisatrices
devraient fournir des informations sur les données éventuelles qu’elles demanderont afin de fournir leurs services et
sur les motifs de la demande. L’enregistrement des parties utilisatrices facilite la vérification par les États membres de
la licéité des activités des parties utilisatrices au regard du droit de l’Union. L’obligation d’enregistrement prévue dans
le présent règlement devrait être sans préjudice des obligations prévues par d’autres dispositions du droit de l’Union
ou du droit national, par exemple en ce qui concerne les informations à fournir aux personnes concernées en vertu
du règlement (UE) 2016/679. Les parties utilisatrices devraient respecter les garanties prévues par les articles 35 et
36 dudit règlement, en particulier en réalisant des analyses d’impact relatives à la protection des données et en
consultant les autorités chargées de la protection des données compétentes préalablement au traitement des données
lorsque les analyses d’impact relatives à la protection des données indiquent que le traitement entraînerait un risque
élevé. Ces garanties devraient favoriser le traitement licite des données à caractère personnel par les parties
utilisatrices, en particulier en ce qui concerne des catégories particulières de données, telles que les données de santé.
L’enregistrement des parties utilisatrices est destiné à accroître la transparence et à renforcer la confiance dans
l’utilisation des portefeuilles européens d’identité numérique. Il convient que l’enregistrement n’entraîne pas de coûts
excessifs et soit proportionné aux risques associés afin d’assurer son adoption par les prestataires de services. Dans ce
contexte, l’enregistrement devrait prévoir l’utilisation de procédures automatisées, y compris le recours à des registres
existants et leur utilisation par les États membres, et il ne devrait pas comporter de procédure d’autorisation
préalable. La procédure d’enregistrement devrait permettre une diversité de cas d’utilisation qui peuvent varier en ce
qui concerne le mode de fonctionnement, que ce soit en ligne ou en mode hors ligne, ou l’exigence d’authentifier les
dispositifs aux fins de l’interface avec le portefeuille européen d’identité numérique. L’enregistrement devrait
s’appliquer exclusivement aux parties utilisatrices fournissant des services au moyen d’une interaction numérique.
(18)
La protection des citoyens de l’Union et des résidents de l’Union contre l’utilisation non autorisée ou frauduleuse des
portefeuilles européens d’identité numérique revêt la plus haute importance pour assurer la confiance dans les
portefeuilles européens d’identité numérique et leur adoption à grande échelle. Les utilisateurs devraient bénéficier
d’une protection effective contre de telles utilisations abusives. En particulier, lorsque les faits constitutifs d’une
utilisation frauduleuse ou autrement illégale d’un portefeuille européen d’identité numérique sont établis par une
autorité judiciaire nationale dans le cadre d’une autre procédure, les organes de contrôle responsables des émetteurs
de portefeuilles européens d’identité numérique devraient, après notification, prendre les mesures nécessaires pour
faire en sorte que l’enregistrement de la partie utilisatrice et l’inclusion des parties utilisatrices dans le mécanisme
d’authentification soient révoqués ou suspendus jusqu’à ce que l’autorité notifiante confirme qu’il a été remédié aux
irrégularités constatées.
(19)
Tous les portefeuilles européens d’identité numérique devraient permettre aux utilisateurs de s’identifier et de
s’authentifier par voie électronique en ligne et en mode hors ligne, par-delà les frontières, pour accéder à un large
éventail de services publics et privés. Sans préjudice des prérogatives des États membres en ce qui concerne
l’identification de leurs citoyens et résidents, les portefeuilles européens d’identité numérique peuvent aussi répondre
aux besoins institutionnels des administrations publiques, des organisations internationales et des institutions,
organes et organismes de l’Union. L’authentification en mode hors ligne serait importante dans de nombreux
secteurs, y compris dans le secteur de la santé, où les services sont souvent fournis par interaction directe et où la
vérification de l’authenticité des prescriptions électroniques devrait pouvoir être effectuée à l’aide de codes QR ou de
technologies similaires. En s’appuyant sur le niveau de garantie élevé en ce qui concerne les schémas d’identification
électronique, les portefeuilles européens d’identité numérique devraient bénéficier du potentiel offert par des
solutions infalsifiables, telles que des éléments sécurisés, pour se conformer aux exigences de sécurité prévues par le
présent règlement. Les portefeuilles européens d’identité numérique devraient aussi permettre aux utilisateurs de
créer et d’utiliser des signatures et cachets électroniques qualifiés qui sont acceptés dans toute l’Union. Une fois
enrôlées dans un portefeuille européen d’identité numérique, les personnes physiques devraient pouvoir utiliser
celui-ci pour signer au moyen de signatures électroniques qualifiées, par défaut et gratuitement, sans devoir passer
par des procédures administratives supplémentaires. Les utilisateurs devraient pouvoir signer ou apposer des cachets
sur des déclarations ou attributs autodéclarés. Afin de permettre aux personnes et aux entreprises de toute l’Union de
bénéficier des avantages liés à la simplification et à la réduction des coûts, notamment en accordant des pouvoirs de
représentation et des mandats électroniques, les États membres devraient fournir des portefeuilles européens
d’identité numérique qui reposent sur des normes communes et des spécifications techniques afin de garantir une
interopérabilité homogène et d’accroître dûment la sécurité informatique, de renforcer la résilience face aux
cyberattaques et de réduire ainsi significativement les risques potentiels que présente la transition numérique en
cours pour les citoyens et résidents de l’Union et les entreprises. Seules les autorités compétentes des États membres
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
JO L du 30.4.2024
FR
peuvent établir l’identité d’une personne avec un niveau élevé de fiabilité et, partant, garantir que la personne
revendiquant ou affirmant une identité particulière est effectivement la personne qu’elle prétend être. Il est donc
nécessaire que la fourniture des portefeuilles européens d’identité numérique repose sur l’identité juridique des
citoyens de l’Union et des résidents de l’Union ou des personnes morales. Le recours à l’identité juridique ne devrait
pas empêcher les utilisateurs de portefeuilles européens d’identité numérique d’accéder aux services sous un
pseudonyme, dès lors que l’identité juridique n’est pas requise pour l’authentification. La confiance dans les
portefeuilles européens d’identité numérique serait renforcée si les entités qui les délivrent et les gèrent étaient tenues
de mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir le niveau de sécurité le
plus élevé qui soit proportionné aux risques posés pour les droits et libertés des personnes physiques, conformément
au règlement (UE) 2016/679.
(20)
L’utilisation d’une signature électronique qualifiée à des fins non professionnelles devrait être gratuite pour toutes les
personnes physiques. Les États membres devraient avoir la possibilité de prévoir des mesures pour empêcher
l’utilisation gratuite de signatures électroniques qualifiées à des fins professionnelles par des personnes physiques,
tout en veillant à ce que ces mesures soient proportionnées aux risques identifiés et justifiées.
(21)
Il est utile de faciliter l’adoption et l’utilisation des portefeuilles européens d’identité numérique en les intégrant de
manière homogène à l’écosystème des services numériques publics et privés déjà mis en œuvre au niveau national,
local ou régional. Pour atteindre cet objectif, les États membres devraient avoir la possibilité de prévoir des mesures
juridiques et organisationnelles en vue d’offrir une plus grande souplesse aux fournisseurs de portefeuilles européens
d’identité numérique et de permettre des fonctionnalités supplémentaires des portefeuilles européens d’identité
numérique par rapport à celles prévues par le présent règlement, y compris au moyen d’une interopérabilité accrue
avec les moyens d’identification électronique nationaux existants. De telles fonctionnalités supplémentaires ne
devraient en aucun cas nuire à la fourniture des fonctions essentielles des portefeuilles européens d’identité
numérique prévues par le présent règlement, ni conduire à la promotion de solutions nationales existantes aux
dépens des portefeuilles européens d’identité numérique. Étant donné qu’elles dépassent le cadre du présent
règlement, ces fonctionnalités supplémentaires ne bénéficient pas des dispositions relatives au recours transfrontière
aux portefeuilles européens d’identité numérique prévues dans le présent règlement.
(22)
Les portefeuilles européens d’identité numérique devraient comporter une fonctionnalité permettant de générer des
pseudonymes choisis et gérés par l’utilisateur pour s’authentifier lorsqu’ils accèdent à des services en ligne.
(23)
Afin d’atteindre un niveau élevé de sécurité et de fiabilité, le présent règlement établit les exigences applicables aux
portefeuilles européens d’identité numérique. La conformité des portefeuilles européens d’identité numérique avec
ces exigences devrait être certifiée par des organismes d’évaluation de la conformité accrédités désignés par les États
membres.
(24)
Afin d’éviter les approches divergentes et d’harmoniser la mise en œuvre des exigences établies par le présent
règlement, la Commission devrait, aux fins de certifier les portefeuilles européens d’identité numérique, adopter des
actes d’exécution visant à établir une liste de normes de référence et, lorsque cela est nécessaire, établir des
spécifications et des procédures aux fins de formuler les spécifications techniques détaillées de ces exigences. Dans la
mesure où la certification de la conformité des portefeuilles européens d’identité numérique avec les exigences de
cybersécurité applicables n’est pas couverte par les schémas de certification de cybersécurité existants visés dans le
présent règlement, et en ce qui concerne les exigences autres que les exigences de cybersécurité applicables aux
portefeuilles européens d’identité numérique, il convient que les États membres établissent des schémas de
certification nationaux conformément aux exigences harmonisées établies dans le présent règlement et adoptées en
vertu de celui-ci. Les États membres devraient transmettre leurs projets de schémas de certification nationaux au
groupe de coopération européen en matière d’identité numérique, lequel devrait pouvoir émettre des avis et des
recommandations.
(25)
La certification de conformité avec les exigences de cybersécurité établies dans le présent règlement devrait, lorsque
ceux-ci sont disponibles, s’appuyer sur les schémas européens de certification de cybersécurité applicables établis en
vertu du règlement (UE) 2019/881 du Parlement européen et du Conseil (10), qui instaure un cadre européen de
certification de cybersécurité facultatif pour les produits, processus et services TIC.
(10)
Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne
pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le
règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
5/56
FR
6/56
JO L du 30.4.2024
(26)
Afin d’évaluer et d’atténuer en permanence les risques liés à la sécurité, les portefeuilles européens d’identité
numérique certifiés devraient faire l’objet d’évaluations régulières des vulnérabilités visant à déceler toute
vulnérabilité dans les composants certifiés liés au produit, les composants certifiés liés aux processus et les
composants certifiés liés au service du portefeuille européen d’identité numérique.
(27)
En protégeant les utilisateurs et les entreprises contre les risques de cybersécurité, les exigences essentielles en matière
de cybersécurité énoncées dans le présent règlement contribuent également à renforcer la protection des données
à caractère personnel et de la vie privée des personnes. Des synergies en matière de normalisation et de certification
sur les aspects de la cybersécurité devraient être envisagées dans le cadre de la coopération entre la Commission, les
organisations européennes de normalisation, l’Agence de l’Union européenne pour la cybersécurité (ENISA), le
comité européen de la protection des données institué par le règlement (UE) 2016/679 et les autorités nationales de
contrôle de la protection des données.
(28)
L’enrôlement des citoyens de l’Union et des résidents dans l’Union pour le portefeuille européen d’identité numérique
devrait être facilité en s’appuyant sur des moyens d’identification électronique délivrés au niveau de garantie élevé. Il
convient de n’avoir recours aux moyens d’identification électronique délivrés au niveau de garantie substantiel que
lorsque des spécifications techniques harmonisées et des procédures harmonisées utilisant des moyens
d’identification électronique délivrés au niveau de garantie substantiel combinés à des moyens complémentaires
de vérification de l’identité permettront de satisfaire aux exigences énoncées dans le présent règlement en ce qui
concerne le niveau de garantie élevé. Ces moyens complémentaires devraient être fiables et faciles à utiliser et
pourraient se fonder sur la possibilité d’utiliser des procédures d’enrôlement à distance, des certificats qualifiés
appuyés par des signatures électroniques qualifiées, une attestation électronique d’attributs qualifiée ou une
combinaison de ces éléments. Afin de garantir une adoption suffisante des portefeuilles européens d’identité
numérique, il convient de définir, dans des actes d’exécution, des spécifications techniques harmonisées et des
procédures harmonisées pour l’enrôlement des utilisateurs à l’aide de moyens d’identification électronique, y compris
ceux délivrés au niveau de garantie substantiel.
(29)
L’objectif du présent règlement est de fournir à l’utilisateur un portefeuille européen d’identité numérique
entièrement mobile, sécurisé et convivial. À titre de mesure transitoire jusqu’à la mise à disposition de solutions
infalsifiables certifiées, telles que des éléments sécurisés dans les appareils des utilisateurs, les portefeuilles européens
d’identité numérique devraient pouvoir s’appuyer sur des éléments sécurisés externes certifiés pour la protection du
contenu cryptographique et d’autres données sensibles ou sur des moyens d’identification électroniques notifiés au
niveau de garantie élevé afin de démontrer la conformité avec les exigences pertinentes du présent règlement en ce
qui concerne le niveau de garantie du portefeuille européen d’identité numérique. Le présent règlement devrait
s’entendre sans préjudice des conditions nationales en ce qui concerne la délivrance et l’utilisation d’un élément
sécurisé externe certifié lorsque la mesure transitoire dépend d’un tel élément.
(30)
Les portefeuilles européens d’identité numérique devraient garantir le niveau de protection et de sécurité des données
le plus élevé possible aux fins de l’identification et de l’authentification électroniques pour faciliter l’accès aux services
publics et privés, que ces données soient stockées localement ou à l’aide de solutions en nuage, en tenant dûment
compte des différents niveaux de risque.
(31)
Les portefeuilles européens d’identité numérique devraient être sécurisés dès la conception et devraient mettre en
œuvre des éléments de sécurité avancés afin d’offrir une protection contre l’usurpation d’identité et autre vol de
données, le déni de service et toute autre cybermenace. Cette sécurité devrait comprendre des méthodes de
chiffrement et de stockage de pointe, qui ne sont accessibles qu’à l’utilisateur et ne peuvent être déchiffrées que par
lui, et qui s’appuient sur une communication chiffrée de bout en bout avec les autres portefeuilles européens
d’identité numérique et les parties utilisatrices. En outre, les portefeuilles européens d’identité numérique devraient
exiger une confirmation sécurisée, explicite et active par l’utilisateur pour les opérations effectuées au moyen des
portefeuilles européens d’identité numérique.
(32)
L’utilisation gratuite de portefeuilles européens d’identité numérique ne devrait pas entraîner le traitement de
données au-delà des données qui sont nécessaires à la fourniture des services liés aux portefeuilles européens
d’identité numérique. Le présent règlement ne devrait pas autoriser le traitement de données à caractère personnel
stockées dans le portefeuille européen d’identité numérique ou résultant de l’utilisation de celui-ci par le fournisseur
du portefeuille européen d’identité numérique à des fins autres que la fourniture de services liés aux portefeuilles
européens d’identité numérique. Afin d’assurer la protection de la vie privée, les fournisseurs de portefeuilles
européens d’identité numérique devraient veiller à ce que les données ne soient pas observables, en ne collectant pas
de données et en n’ayant pas connaissance des transactions effectuées par les utilisateurs du portefeuille européen
d’identité numérique. Ce caractère non observable signifie que les fournisseurs ne sont pas en mesure de voir le détail
des transactions effectuées par l’utilisateur. Toutefois, dans des cas particuliers, sur la base du consentement préalable
explicite de l’utilisateur pour chacun de ces cas particuliers, et dans le plein respect du règlement (UE) 2016/679, les
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
JO L du 30.4.2024
FR
fournisseurs de portefeuilles européens d’identité numérique pourraient se voir accorder l’accès aux informations
nécessaires à la fourniture d’un service particulier lié aux portefeuilles européens d’identité numérique.
(33)
La transparence des portefeuilles européens d’identité numérique et la responsabilité des fournisseurs sont des
éléments essentiels pour créer une confiance sociale et susciter l’acceptation du cadre. Par conséquent, le
fonctionnement des portefeuilles européens d’identité numérique devrait être transparent et, en particulier, permettre
un traitement vérifiable des données à caractère personnel. À cette fin, les États membres devraient divulguer le code
source des composants logiciels de l’application utilisateur des portefeuilles européens d’identité numérique, y
compris ceux qui sont liés au traitement des données à caractère personnel et des données des personnes morales. La
publication de ce code source sous une licence à code source ouvert (open source) devrait permettre à la société, y
compris les utilisateurs et les développeurs, de comprendre le fonctionnement du code, d’en faire l’audit et de
l’examiner. Cela permettrait d’accroître la confiance des utilisateurs dans l’écosystème et de contribuer à la sécurité
des portefeuilles européens d’identité numérique en offrant à quiconque la possibilité de signaler des vulnérabilités et
des erreurs dans le code. Dans l’ensemble, cela devrait inciter les fournisseurs à fournir et à maintenir un produit
hautement sécurisé. Toutefois, dans certains cas, la divulgation du code source des bibliothèques utilisées, du canal de
communication ou d’autres éléments qui ne sont pas hébergés sur le dispositif de l’utilisateur pourrait être limitée
par les États membres, pour des motifs dûment justifiés, en particulier à des fins de sécurité publique.
(34)
L’utilisation de portefeuilles européens d’identité numérique ainsi que l’arrêt de leur utilisation devraient constituer
un droit et un choix exclusif des utilisateurs. Les États membres devraient mettre au point des procédures simples et
sécurisées permettant aux utilisateurs de demander la révocation immédiate de la validité des portefeuilles européens
d’identité numérique, notamment en cas de perte ou de vol. Lors du décès de l’utilisateur ou de la cessation d’activité
d’une personne morale, il devrait exister un mécanisme permettant à l’autorité responsable du règlement de la
succession de la personne physique ou des actifs de la personne morale de demander la révocation immédiate des
portefeuilles européens d’identité numérique.
(35)
Afin de favoriser l’adoption des portefeuilles européens d’identité numérique et l’utilisation accrue des identités
numériques, les États membres ne devraient pas seulement promouvoir les avantages des services concernés, mais ils
devraient également, en coopération avec le secteur privé, les chercheurs et le monde universitaire, élaborer des
programmes de formation visant à renforcer les compétences numériques de leurs citoyens et résidents, en
particulier pour les groupes vulnérables, tels que les personnes handicapées et les personnes âgées. Les États
membres devraient également sensibiliser aux avantages et aux risques des portefeuilles européens d’identité
numérique au moyen de campagnes de communication.
(36)
Afin de veiller à ce que le cadre européen relatif à une identité numérique soit ouvert à l’innovation et aux évolutions
technologiques, et capable de résister à l’épreuve du temps, les États membres sont encouragés, conjointement,
à mettre en place des «bacs à sable» pour mettre à l’essai des solutions innovantes dans un environnement contrôlé et
sécurisé, en particulier dans le but d’améliorer la fonctionnalité, la protection des données à caractère personnel, la
sécurité et l’interopérabilité des solutions, et d’inspirer les futures mises à jour des références techniques et des
exigences légales. Cet environnement devrait favoriser la participation des PME, des start-up et des innovateurs et
chercheurs, ainsi que des parties prenantes concernées du secteur. Ces initiatives devraient contribuer à la conformité
réglementaire et à la robustesse technique des portefeuilles européens d’identité numérique devant être fournis aux
citoyens de l’Union et aux résidents de l’Union ainsi qu’à renforcer cette conformité et cette robustesse, ce qui
permettra de prévenir le développement de solutions qui ne respectent pas le droit de l’Union en matière de
protection des données ou qui présentent des vulnérabilités en matière de sécurité.
(37)
Le règlement (UE) 2019/1157 du Parlement européen et du Conseil (11) renforce la sécurité des cartes d’identité par la
mise en place d’éléments de sécurité renforcés au plus tard en août 2021. Les États membres devraient envisager la
possibilité de notifier ces cartes dans le cadre des schémas d’identification électronique afin d’étendre la disponibilité
transfrontière des moyens d’identification électronique.
(38)
Le processus de notification des schémas d’identification électronique devrait être simplifié et accéléré afin de
promouvoir l’accès à des solutions d’authentification et d’identification pratiques, fiables, sécurisées et innovantes et,
le cas échéant, d’encourager les fournisseurs d’identité privés à proposer des schémas d’identification électronique
aux autorités des États membres pour notification en tant que schémas nationaux d’identification électronique au
titre du règlement (UE) no 910/2014.
(11)
Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes
d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille
exerçant leur droit à la libre circulation (JO L 188 du 12.7.2019, p. 67).
ELI: http://data.europa.eu/eli/reg/2024/1183/oj
7/56
FR
8/56
JO L du 30.4.2024
(39)
La rationalisation des procédures actuelles de notification et d’examen par les pairs empêchera les approches
hétérogènes de l’évaluation des différents schémas d’identification électronique notifiés et facilitera l’instauration de
la confiance entre les États membres. De nouveaux mécanismes simplifiés sont destinés à favoriser la coopération
entre les États membres en ce qui concerne la sécurité et l’interopérabilité de leurs schémas d’identification
électronique notifiés.
(40)
Les États membres devraient bénéficier de nouveaux outils souples pour ce qui est de garantir le respect des exigences
du présent règlement et des actes d’exécution adoptés en vertu de celui-ci. Le présent règlement devrait permettre aux
États membres d’utiliser les rapports et évaluations, réalisés par des organismes d’évaluation de la conformité
accrédités, comme cela est prévu dans le cadre des schémas de certification à mettre en place au niveau de l’Union au
titre du règlement (UE) 2019/881, afin d’étayer leurs demandes concernant l’alignement des schémas ou de certaines
parties de ceux-ci avec le règlement (UE) no 910/2014.
(41)
Les prestataires de services publics utilisent les données d’identification personnelle rendues disponibles par des
moyens d’identification électronique au titre du règlement (UE) no 910/2014 afin d’établir une correspondance entre
l’identité électronique des utilisateurs d’autres États membres et les données d’identification personnelle fournies à ces
utilisateurs dans l’État membre qui procède à la mise en correspondance transfrontière des identités. Toutefois, dans
de nombreux cas, malgré l’utilisation de l’ensemble minimal de données fourni au titre des schémas d’identification
électronique notifiés, des informations supplémentaires sur l’utilisateur et des procédures d’identification uniques
complémentaires spécifiques devant être menées au niveau national sont nécessaires pour assurer la mise en
correspondance correcte des identités lorsque les États membres agissent en tant que parties utilisatrices. Afin de
rendre encore plus facile l’utilisation des moyens d’identification électronique, de fournir de meilleurs services
publics en ligne et de renforcer la sécurité juridique en ce qui concerne l’identité électronique des utilisateurs, le
règlement (UE) no 910/2014 devrait exiger …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.