Règlement d'exécution (UE) 2025/846 de la Commission du 6 mai 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne la mise en correspondance d’identité transfrontière des personnes physiques
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 11 bis, paragraphe 3,
considérant ce qui suit:
(1) Le règlement (UE) n°910/2014 exige que les portefeuilles européens d’identité numérique (ci-après les «portefeuilles») et les moyens d’identification électronique notifiés soient disponibles en tant que possibilité d’authentification pour accéder aux services publics transfrontières en ligne fournis par les États membres. Dans de tels cas d’authentification transfrontière, les enregistrements contenant des informations relatives à l’utilisateur du portefeuille ou à l’utilisateur du moyen d’identification électronique notifié sont parfois déjà à la disposition de la partie utilisatrice par l’intermédiaire du registre propre à la partie utilisatrice ou d’un registre externe, et souvent sous la forme d’un compte utilisateur. Dans de tels cas, certaines informations relatives à l’utilisateur, obtenues à partir des portefeuilles ou des moyens d’identification électronique notifiés, peuvent être mises en correspondance par la partie utilisatrice ou pour son compte. Une façon d’atteindre cet objectif serait d’utiliser une solution centralisée gérée par un organisme du secteur public, sur la base des informations déjà détenues par cette partie utilisatrice ou contenues dans un registre auquel se fie la partie utilisatrice, par exemple un registre de population ou une base de données contenant des informations sur les comptes utilisateurs.
(2) La Commission évalue régulièrement les nouvelles technologies, pratiques, normes et spécifications techniques. Afin d’atteindre le niveau d’harmonisation le plus élevé possible entre les États membres en ce qui concerne le développement et la certification des portefeuilles, les spécifications techniques énoncées dans le présent règlement s’appuient sur les travaux menés au titre de la recommandation (UE) 2021/946 de la Commission (2), et en particulier l’architecture et le cadre de référence qui sont une composante de cette boîte à outils. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (3), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement, afin de le maintenir en adéquation avec les évolutions générales, l’architecture et le cadre de référence et de suivre les meilleures pratiques sur le marché intérieur.
(3) Afin de garantir que le processus de mise en correspondance d’identité fonctionne de manière fiable dans tous les États membres, les États membres agissant en tant que parties utilisatrices devraient procéder à la mise en correspondance d’identité initiale lorsqu’une personne physique demande pour la première fois l’accès à un service exploité par la partie utilisatrice, sur la base soit de l’ensemble minimal de données prévu par le règlement d’exécution (UE) 2015/1501 de la Commission (4), soit de l’ensemble de données d’identification personnelle prévu par le règlement d’exécution (UE) 2024/2977 de la Commission (5). Alors que le présent règlement se concentre sur les États membres agissant en tant que parties utilisatrices, le règlement (UE) n°910/2014 laisse aux États membres le soin de décider de mettre ou non le système de mise en correspondance d’identité également à la disposition des parties utilisatrices privées. Lorsque des États membres prévoient la mise en correspondance d’identité pour des parties utilisatrices qui ne sont pas des organismes du secteur public, ils devraient appliquer, dans la mesure du possible, les mécanismes et procédures prévus par le présent règlement.
(4) Lorsque la mise en correspondance d’identité transfrontière repose sur l’utilisation des portefeuilles, les informations utilisées pour établir une correspondance d’identité sans équivoque devraient être les identifiants de données obligatoires de l’ensemble de données d’identification personnelle figurant à la section 1 de l’annexe du règlement d’exécution (UE) 2024/2977, ainsi que toutes données facultatives nécessaires pour garantir que l’ensemble de données d’identification personnelle est unique.
(5) Lorsque la mise en correspondance d’identité transfrontière repose sur l’utilisation de moyens d’identification électronique notifiés, les informations utilisées pour établir une correspondance d’identité sans équivoque devraient être les attributs obligatoires de l’ensemble minimal de données pour une personne physique, comme indiqué à la section 1 de l’annexe du règlement d’exécution (UE) 2015/1501. La référence aux attributs obligatoires de l’ensemble minimal de données pour une personne physique devrait être comprise dans le contexte du règlement d’exécution (UE) 2015/1501, qui décrit un attribut comme un élément de l’ensemble minimal de données d’identification personnelle, par opposition à la définition des attributs figurant à l’article 3, point 43), du règlement (UE) n°910/2014 tel que modifié par le règlement (UE) 2024/1183.
(6) En raison de la dépendance à l’égard des informations préexistantes utilisées par la partie utilisatrice pour établir une correspondance d’identité sans équivoque, le processus de mise en correspondance d’identité pourrait ne pas être concluant dans tous les cas. Afin d’offrir suffisamment de flexibilité aux parties utilisatrices, les États membres peuvent mettre en place des processus complémentaires garantissant un niveau équivalent de confiance dans le résultat du processus de mise en correspondance d’identité.
(7) Lorsque le processus de mise en correspondance d’identité est réputé concluant conformément aux dispositions du présent règlement, la partie utilisatrice, ou la partie agissant pour son compte, ou un registre auquel se fient les parties utilisatrices ou le système centralisé devrait veiller à ce que l’utilisateur soit informé du succès de l’enregistrement, notamment en affichant le nom ou le pseudonyme de l’utilisateur et, le cas échéant, à ce que l’utilisateur soit informé, entre autres, des options disponibles pour stocker le résultat du processus de mise en correspondance d’identité. Ces options peuvent inclure le stockage d’une association dans un registre géré par la partie utilisatrice et/ou dans un registre auquel se fie la partie utilisatrice et/ou la délivrance d’une attestation électronique d’attributs spécifique contenant une association qui peut être réutilisée à l’avenir et/ou le recours à d’autres solutions fournies par la partie utilisatrice ou la partie agissant pour son compte. Le cas échéant, l’utilisateur devrait avoir le choix entre différentes options et le temps de conservation devrait être contrôlé par l’utilisateur afin que les utilisateurs puissent, à l’avenir, réutiliser les processus de mise en correspondance d’identité déjà achevés.
(8) Afin de renforcer la transparence et le contrôle de l’utilisateur, en cas d’échec de la mise en correspondance, il convient d’indiquer clairement à l’utilisateur les raisons pour lesquelles le processus de mise en correspondance n’a pas été concluant. En outre, l’utilisateur devrait être informé des éventuelles prochaines étapes, y compris la fourniture des informations utilisées dans le processus de mise en correspondance d’identité et toute divergence constatée, ainsi que des explications et des instructions claires aux utilisateurs sur les solutions possibles et les processus complémentaires.
(9) Pour que des mécanismes de recours appropriés soient disponibles à chaque fois qu’une mise en correspondance d’identité est effectuée, les parties utilisatrices, ou les parties agissant pour leur compte, ou les registres auxquels se fient les parties utilisatrices devraient tenir des journaux appropriés portant sur le processus de mise en correspondance d’identité, les informations utilisées pour la mise en correspondance et tout autre document justificatif fourni par la personne physique, ainsi que le résultat du processus de mise en correspondance d’identité. Ces journaux devraient être conservés pendant au minimum 6 mois et au maximum 12 mois pour permettre l’enregistrement et le traitement des réclamations par les utilisateurs. La durée de conservation pourrait être prolongée si le droit de l’Union ou le droit national l’exige.
(10) Afin d’éviter que les utilisateurs de portefeuille n’aient à effectuer à plusieurs reprises le processus de mise en correspondance d’identité, les États membres peuvent exiger que les systèmes de mise en correspondance d’identité soient capables de délivrer une attestation électronique d’attributs comportant un lien entre l’utilisateur de portefeuille et un registre dans lequel cet utilisateur est enregistré en tant qu’utilisateur connu. Comme autre solution, les États membres, peuvent stocker une association sous la forme d’une référence à un registre accessible à la partie utilisatrice, ou recourir à d’autres mesures d’assistance.
(11) Afin de garantir que les portefeuilles à fournir conformément aux exigences de l’article 5 bis, paragraphe 1, du règlement (UE) n°910/2014, et les schémas d’identification électronique notifiés bénéficieront des avantages résultant de la mise à disposition de systèmes opérationnels de mise en correspondance d’identité, il convient de fixer un délai d’application plus long des dispositions respectives du présent règlement. En ce qui concerne les portefeuilles, chaque État membre devrait fournir au moins un portefeuille dans un délai de 24 mois à compter de la date d’entrée en vigueur des actes d’exécution visés à l’article 5 bis, paragraphe 23, et à l’article 5 quater, paragraphe 6, du règlement (UE) n°910/2014. Par conséquent, l’application des dispositions pertinentes du présent règlement relatives à la mise en correspondance d’identité sur la base de portefeuilles devrait coïncider avec le délai susmentionné. En ce qui concerne les schémas d’identification électronique notifiés, il convient de prévoir suffisamment de temps pour remplacer les fonctionnalités de mise en correspondance d’identité.
(12) Étant donné que l’utilisation du portefeuille doit être volontaire, les États membres devraient prévoir d’autres méthodes permettant aux utilisateurs d’accéder aux services qu’ils fournissent lorsqu’ils agissent en tant que parties utilisatrices.
(13) Lors d’une tentative d’authentification auprès d’un service électronique, il se peut qu’un nouvel enregistrement d’utilisateur soit transparent et apparaisse donc à un utilisateur, visuellement et techniquement, comme une nouvelle visite dans un service électronique déjà utilisé précédemment. Pour cette raison, un nouvel enregistrement d’utilisateur auprès d’un service électronique devrait, aux fins du présent règlement, être considéré comme équivalent à un processus concluant de mise en correspondance d’identité.
(14) Les États membres devraient veiller à ce que le processus de mise en correspondance d’identité fonctionne de manière transparente et que l’utilisateur ne soit pas confronté à de multiples changements de sessions et à des étapes répétitives, même si le processus de mise en correspondance d’identité n’est pas concluant dans un premier temps et que des processus complémentaires sont mis en oeuvre.
(15) Les États membres sont libres de concevoir leurs interfaces utilisateurs et leurs notifications d’une manière adaptée à leur contexte national, en tenant compte de l’esprit des exigences contenues dans le présent règlement.
(16) Le règlement (UE) 2016/679 du Parlement européen et du Conseil(6)et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (7) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.
(17) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (8) et a rendu son avis le 31 janvier 2025.
(18) Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement établit les règles relatives au processus de mise en correspondance d’identité transfrontière des personnes physiques par des organismes du secteur public ou des organismes agissant pour le compte d’organismes du secteur public, qui doivent être régulièrement mises à jour pour tenir compte de l’évolution des technologies et des normes ainsi que des travaux réalisés sur la base de la recommandation (UE) 2021/946, en ce qui concerne en particulier l’architecture et le cadre de référence.
Article 2
Exigences d’ordre général
1. Lorsqu’un organisme du secteur public agit en tant que partie utilisatrice dans le cadre d’un service en ligne transfrontière proposé par cet organisme du secteur public ou pour son compte, les États membres veillent à ce que le processus décrit au paragraphe 2 soit utilisé pour garantir une mise en correspondance sans équivoque de l’identité des personnes physiques.
2. La mise en correspondance d’identité sans équivoque est effectuée par la partie utilisatrice, ou pour le compte de celle-ci, ou par un registre sur lequel s’appuient les parties utilisatrices, ou par un système centralisé, en demandant, le cas échéant, en recevant et en validant l’authenticité des informations énumérées au paragraphe 3 ou au paragraphe 4.
3. En cas de recours à un portefeuille, les informations à utiliser pour établir une correspondance d’identité sans équivoque sont les données d’identification personnelle obligatoires énoncées à la section 1 de l’annexe du règlement d’exécution (UE) 2024/2977, ainsi que toutes les données facultatives qui sont nécessaires pour garantir que l’ensemble de données présenté est unique, y compris, le cas échéant, des informations supplémentaires ou des procédures complémentaires.
4. En cas de recours à un schéma d’identification électronique notifié, les informations à utiliser pour établir une correspondance d’identité sans équivoque sont les attributs obligatoires de l’ensemble minimal de données pour une personne physique visés à la section 1 de l’annexe du règlement d’exécution (UE) 2015/1501, y compris, le cas échéant, des informations supplémentaires ou des procédures complémentaires.
5. Pour déterminer s’il existe une correspondance d’identité sans équivoque, la partie utilisatrice, ou la partie agissant pour son compte, compare les informations fournies par l’utilisateur et celles déjà enregistrées par la partie utilisatrice ou une partie agissant pour le compte de celle-ci ou un registre auquel se fient les parties utilisatrices.
6. Le résultat du processus décrit au paragraphe 5 n’est, autant que faire se peut, pas affecté par des différences de translittération, d’espace, de trait d’union, de concaténation et de variantes orthographiques similaires requises par le droit de l’Union ou le droit national de l’État membre.
7. Lorsqu’une correspondance exacte est établie pour les informations visées au paragraphe 2 et se rapporte à une seule personne physique ou lorsque le résultat du processus conduit à un nouvel enregistrement de l’utilisateur qui est équivalent, dans sa fonction, à un processus concluant de mise en correspondance d’identité, le processus de mise en correspondance d’identité est réputé concluant et donner lieu à une correspondance d’identité sans équivoque. Lorsque la correspondance n’est pas exacte ou se rapporte à plusieurs personnes physiques, ou lorsque la partie qui procède à la mise en correspondance d’identité ne peut garantir que la correspondance est sans équivoque, le processus de mise en correspondance d’identité est réputé avoir échoué.
8. Les États membres peuvent s’appuyer sur des systèmes centralisés de mise en correspondance d’identité, gérés par un organisme du secteur public établi dans cet État membre, pour garantir que des procédures en ligne permettent de comparer des moyens d’identification électronique notifiés ou des portefeuilles d’un autre État membre et des enregistrements et registres existants.
9. Lorsque les États membres autorisent des parties utilisatrices de portefeuille qui ne sont pas des organismes du secteur public à effectuer la mise en correspondance d’identité, les mécanismes et procédures prévus par le présent règlement, s’appliquent, le cas échéant.
Article 3
Obligations des parties utilisatrices lorsque le processus de mise en correspondance d’identité est concluant
1. La première fois qu’un utilisateur exécute le processus de mise en correspondance d’identité et que celui-ci est réputé concluant conformément à l’article 2, paragraphe 7, la partie utilisatrice, ou la partie agissant pour son compte, ou un registre auquel se fient les parties utilisatrices ou le système centralisé veille à ce que l’utilisateur soit informé du fait que l’accès au service qu’il a sollicité lui est accordé.
2. Le cas échéant, l’utilisateur est également informé:
- a) qu’il a été enregistré en tant que nouvel utilisateur;
- b) qu’une correspondance a été établie avec succès entre ses données et celle d’un utilisateur unique existant de la partie utilisatrice ou
- c) qu’une correspondance a été établie avec succès entre ses données et celles d’un utilisateur unique existant dans un registre auquel se fie la partie utilisatrice ou la partie agissant pour son compte;
- d) qu’il peut, à l’avenir, réutiliser les processus de mise en correspondance d’identité déjà achevés en choisissant l’une des options suivantes, y compris le temps de conservation:
- le stockage d’une association dans un registre géré par la partie utilisatrice ou dans un registre auquel se fie la partie utilisatrice, qui peut être réutilisée lors de demandes d’accès ultérieures,
- la délivrance d’une attestation électronique d’attributs spécifique contenant une association qui peut être réutilisée lors de demandes d’accès ultérieures,
- d’autres options fournies par la partie utilisatrice, ou la partie agissant pour le compte de la partie utilisatrice, ou le système centralisé, qui peuvent être réutilisées lors de demandes d’accès ultérieures.
Article 4
Obligations des parties utilisatrices lorsque le processus de mise en correspondance d’identité n’est pas concluant
1. Lorsqu’un processus de mise en correspondance d’identité est réputé avoir échoué en vertu de l’article 2, paragraphe 7, la partie utilisatrice, ou la partie agissant pour son compte, ou le système centralisé veille à ce que l’utilisateur d’un moyen d’identification électronique notifié ou d’un portefeuille soit informé:
- a) si une correspondance n’a pas été établie avec succès et sans équivoque entre les données mises à disposition et celles d’un utilisateur existant de la partie utilisatrice, quel qu’il soit, ou celles figurant dans un registre auquel se fie la partie utilisatrice, ou la partie agissant pour son compte;
- b) si d’autres solutions de mise en correspondance d’identité dont dispose l’utilisateur ou d’autres méthodes d’accès au service initialement demandées par l’utilisateur sont disponibles.
2. Les options ou autres méthodes visées au paragraphe 1, point b), peuvent inclure:
- a) un moyen d’identification électronique notifié différent ou un portefeuille différent;
- b) une mise à jour des informations déjà enregistrées auprès de la partie utilisatrice, ou de la partie agissant pour son compte, ou dans un registre auquel se fie la partie utilisatrice ou dans le système centralisé de mise en correspondance d’identité;
- c) des informations supplémentaires fournies par la partie utilisatrice, ou une partie agissant pour son compte pour la mise en correspondance d’identité, ou le système centralisé.
3. Lorsque les méthodes complémentaires permettent d’établir avec succès une correspondance sans équivoque ou d’effectuer un enregistrement avec succès, le résultat est conforme aux obligations énoncées à l’article 3.
4. Lorsque la partie utilisatrice ou le système centralisé détermine, soit initialement, soit après avoir effectué sans succès les processus complémentaires de mise en correspondance d’identité, que l’utilisateur n’a pas été enregistré précédemment, la partie utilisatrice ou le système centralisé peut considérer cet utilisateur comme un nouvel utilisateur et, le cas échéant, enregistrer l’utilisateur conformément au droit national ou aux pratiques administratives nationales applicables.
5. Lorsque les méthodes complémentaires ne permettent pas d’établir une correspondance avec succès et sans équivoque, la partie effectuant la mise en correspondance d’identité peut déterminer que l’utilisateur n’a pas eu d’interaction(s) préalable(s) avec la partie utilisatrice ou avec un registre auquel se fie la partie utilisatrice et qu’il convient donc de le considérer comme un nouvel utilisateur.
6. S’il s’agit d’un nouvel utilisateur, les parties utilisatrices appliquent la procédure décrite à l’article 3. Elles peuvent enregistrer de nouveaux utilisateurs conformément au droit national ou aux pratiques administratives nationales.
Article 5
Obligations des parties utilisatrices à l’issue du processus de mise en correspondance d’identité
1. Lorsqu’un processus de mise en correspondance d’identité au sens de l’article 2 est achevé, avec ou sans succès, la partie utilisatrice, ou la partie agissant pour son compte, ou le registre auquel se fie la partie utilisatrice tient les journaux relatifs au processus de mise en correspondance d’identité et à ses résultats, y compris, le cas échéant, les éléments suivants:
- a) les valeurs fournies par l’utilisateur et la partie utilisatrice qui sont utilisées pour effectuer le processus de mise en correspondance d’identité;
- b) la date et l’heure du processus de mise en correspondance d’identité;
- c) tout document pertinent fourni dans le cadre des méthodes complémentaires visées à l’article 4, paragraphes 1 et 2, nécessaire au traitement des litiges;
- d) le cas échéant, tout identifiant ou numéro de compte utilisé par la partie utilisatrice, ou un registre auquel se fie la partie utilisatrice, ou la partie agissant pour son compte, ou le système centralisé de mise en correspondance d’identité qui se rapporte à la personne physique.
2. Les parties utilisatrices, ou les parties agissant pour leur compte, prennent en considération les principes de sécurité dès la conception et de respect de la vie privée dès la conception relatifs à la journalisation des informations visées au paragraphe 1.
3. Les parties utilisatrices ou les parties agissant pour leur compte conservent les journaux pendant au minimum 6 mois et au maximum 12 mois à des fins de sécurité. À d’autres fins, notamment pour permettre l’enregistrement et le traitement des réclamations des utilisateurs, le délai de conservation peut être prolongé si le droit de l’Union ou le droit national l’exige.
Article 6
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au
Journal officiel de l’Union européenne.
Il est applicable à partir du 24 décembre 2026.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 6 mai 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (JO L 210 du 14.6.2021, p. 51, ELI: http://data. europa.eu/eli/reco/2021/946/oj).
(3) Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/ eli/reg/2024/1183/oj).
(4) Règlement d’exécution (UE) 2015/1501 de la Commission du 8 septembre 2015 sur le cadre d’interopérabilité visé à l’article 12, paragraphe 8, du règlement (UE) n°910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 235 du 9.9.2015, p. 1, ELI: http://data.europa.eu/eli/ reg_impl/2015/1501/oj).
(5) Règlement d’exécution (UE) 2024/2977 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) n°910/2014 du Parlement européen et du Conseil en ce qui concerne les données d’identification personnelle et les attestations électroniques d’attributs délivrées aux portefeuilles européens d’identité numérique (JO L, 2024/2977, 4.12.2024, ELI: http://data. europa.eu/eli/reg_impl/2024/2977/oj).
(6) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).