5. Cybersécurité 5.3. Sécurité informatique et de l'information

Règlement d'exécution (UE) 2025/848 de la Commission du 6 mai 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne l’enregistrement des parties utilisatrices de portefeuille 

LA COMMISSION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne,
• vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 5 ter, paragraphe 11,

considérant ce qui suit:

(1) Aux fins de l’enregistrement des parties utilisatrices qui ont l’intention de se fier à des portefeuilles européens d’identité numérique (ci-après dénommés «portefeuilles») pour la fourniture de services numériques publics ou privés, comme prévu par le règlement (UE) n°910/2014, les États membres devraient établir et tenir à jour des registres nationaux des parties utilisatrices de portefeuille qui sont établies sur leur territoire.

(2) La Commission évalue régulièrement les nouvelles technologies, pratiques, normes et spécifications techniques. Afin d’atteindre le niveau d’harmonisation le plus élevé possible entre les États membres en ce qui concerne le développement et la certification des portefeuilles, les spécifications techniques énoncées dans le présent règlement s’appuient sur les travaux menés sur la base de la recommandation (UE) 2021/946 de la Commission (2), et en particulier sur l’architecture et le cadre de référence qui sont une composante de cette boîte à outils. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (3), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement, afin de le maintenir en adéquation avec les évolutions générales, l’architecture et le cadre de référence et de suivre les meilleures pratiques sur le marché intérieur.

(3) Afin de garantir un large accès aux registres et d’assurer l’interopérabilité, les États membres devraient mettre en place des interfaces lisibles à la fois par l’être humain et par la machine qui répondent aux spécifications techniques énoncées dans le présent règlement. Les fournisseurs de certificats d’accès de partie utilisatrice de portefeuille et de certificats d’enregistrement de partie utilisatrice de portefeuille, le cas échéant, devraient également pouvoir se fier à ces interfaces aux fins de la délivrance de ces certificats.

(4) Dans la mesure où les politiques d’enregistrement fournissent des orientations claires sur la procédure d’enregistrement aux parties utilisatrices de portefeuille, les États membres devraient définir et publier les
politiques d’enregistrement applicables aux registres nationaux établis sur leur territoire.

(5) L’objectif de l’enregistrement des parties utilisatrices de portefeuille est de renforcer la confiance dans l’utilisation des portefeuilles par une plus grande transparence. Par conséquent, les États membres devraient mettre les informations pertinentes à la disposition du public d’une manière qui soit à la fois lisible par l’être humain et par la machine. À cette fin, les parties utilisatrices de portefeuille devraient fournir les informations nécessaires, y compris leurs habilitations, aux registres nationaux.

(6) En outre, dans un souci de transparence, les parties utilisatrices de portefeuille devraient déclarer si elles ont l’intention de recourir à l’identification électronique des personnes physiques.

(7) Afin que la procédure d’enregistrement soit rentable et proportionnée au risque, les bureaux d’enregistrement devraient mettre en place, à l’intention des parties utilisatrices de portefeuille, des procédures d’enregistrement en ligne commodes et, le cas échéant, automatisées. Les bureaux d’enregistrement devraient vérifier les demandes d’enregistrement dans les meilleurs délais.

(8) Il incombe aux États membres de veiller à ce que les portefeuilles soient capables d’authentifier les parties utilisatrices de portefeuille, quel que soit le lieu où elles sont établies dans l’Union. À cette fin, les parties utilisatrices de portefeuille devraient utiliser des certificats d’accès de partie utilisatrice de portefeuille lorsqu’elles s’identifient auprès des unités de portefeuille. Afin de garantir l’interopérabilité de ces certificats entre tous les portefeuilles fournis au sein de l’Union, les certificats d’accès de partie utilisatrice de portefeuille devraient être conformes aux exigences communes énoncées dans l’annexe. La Commission devrait élaborer des politiques en matière de certificats et des énoncés des pratiques de certification harmonisés à mettre en oeuvre par les États membres. La Commission, en collaboration avec les États membres, devrait suivre de près l’élaboration de normes nouvelles ou alternatives sur la base desquelles les certificats d’accès de partie utilisatrice de portefeuille pourraient être mis en oeuvre. En particulier, il convient d’évaluer les modèles de confiance dont l’efficacité et la sécurité sont vérifiées dans les États membres.

(9) Comme le prévoit le règlement (UE) n°910/2014, les parties utilisatrices de portefeuille doivent s’abstenir de demander aux utilisateurs de fournir d’autres données que celles relatives à l’utilisation prévue des portefeuilles renseignées au cours de la procédure d’enregistrement. Les utilisateurs de portefeuille devraient pouvoir vérifier les données d’enregistrement des parties utilisatrices de portefeuille. Afin de permettre aux utilisateurs de portefeuille de vérifier que les attributs demandés par la partie utilisatrice de portefeuille entrent dans le cadre des attributs faisant l’objet d’un enregistrement par celle-ci, les États membres peuvent exiger la délivrance de certificats d’enregistrement de partie utilisatrice de portefeuille aux parties utilisatrices de portefeuille enregistrées. Afin de garantir l’interopérabilité des certificats d’enregistrement de partie utilisatrice de portefeuille, les États membres devraient veiller à ce que ces certificats répondent aux exigences et aux normes énoncées à l’annexe. Ainsi, les parties utilisatrices de portefeuille devraient déclarer si elles ont l’intention de recourir à l’identification électronique des personnes physiques pour satisfaire à l’une des exigences énoncées à l’article 6, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil (4) à des fins de transparence. Par ailleurs, les parties utilisatrices ne devraient pas refuser l’utilisation de pseudonymes lorsque l’identification de l’utilisateur n’est pas requise par le droit de l’Union ou le droit national.

(10) Afin de protéger les utilisateurs contre le partage excessif d’informations avec les parties utilisatrices de portefeuille et de les avertir en pareille circonstance, les États membres devraient prévoir, dans leurs politiques en matière de certificats, des politiques d’accès communes qui permettraient à une solution de portefeuille d’informer l’utilisateur de portefeuille lorsqu’une partie utilisatrice de portefeuille demande davantage d’informations que celles auxquelles son enregistrement ou son autorisation lui permettent d’accéder.

(11) Afin de protéger les utilisateurs de portefeuille, les bureaux d’enregistrement devraient pouvoir suspendre ou annuler sans préavis l’enregistrement de toute partie utilisatrice de portefeuille lorsqu’ils ont des raisons de croire que l’enregistrement contient des informations inexactes, obsolètes ou trompeuses; que la partie utilisatrice de portefeuille ne respecte pas la politique d’enregistrement; ou que, plus généralement, la partie utilisatrice de portefeuille agit en violation du droit de l’Union, du droit national ou de la déclaration européenne sur les droits et principes numériques pour la décennie numérique (5) dans le cadre de son rôle de partie utilisatrice de portefeuille, par exemple en ne réduisant pas dûment au minimum le jeu d’attributs auquel elle demande l’accès. Afin de préserver la stabilité de l’écosystème des portefeuilles européens d’identité numérique (l’«écosystème des portefeuilles»), la décision de suspendre ou d’annuler un enregistrement devrait être proportionnée à l’interruption de service causée par la suspension ou l’annulation et aux coûts et désagréments qui s’ensuivent pour le prestataire de services et l’utilisateur. Conformément à l’article 46 bis, paragraphe 4, point f), du règlement (UE) n°910/2014, les organes de contrôle sont également habilités à suspendre et à annuler l’enregistrement s’il y a lieu.

(12) Aux fins des contrôles a posteriori, des enquêtes menées par les autorités répressives et du traitement des litiges, les bureaux d’enregistrement devraient conserver pendant 10 ans toutes les informations fournies par les parties utilisatrices de portefeuille inscrites dans leur registre national.

(13) Le règlement (UE) 2016/679 et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (6) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.

(14) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (7)et a rendu son avis le 31 janvier 2025.

(15) Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 48 du règlement (UE) n°910/2014,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier
Objet et champ d’application

Le présent règlement établit les règles relatives à l’enregistrement des parties utilisatrices de portefeuille.

Article 2
Définitions

Aux fins du présent règlement, on entend par:

1) «partie utilisatrice de portefeuille»: une partie utilisatrice qui a l’intention de se fier à des unités de portefeuille pour la fourniture de services publics ou privés au moyen d’une interaction numérique;

2) «unité de portefeuille»: une configuration unique d’une solution de portefeuille comprenant des instances de portefeuille, des applications cryptographiques sécurisées de portefeuille et des dispositifs cryptographiques sécurisés de portefeuille, fournie par un fournisseur de portefeuille à un utilisateur de portefeuille donné;

3) «solution de portefeuille»: une combinaison de logiciels, de matériel, de services, de paramètres et de configurations, y compris des instances de portefeuille, une ou plusieurs applications cryptographiques sécurisées de portefeuille et un ou plusieurs dispositifs cryptographiques sécurisés de portefeuille;

4) «instance de portefeuille»: l’application installée et configurée sur l’appareil ou dans l’environnement d’un utilisateur de portefeuille, qui fait partie d’une unité de portefeuille et dont l’utilisateur de portefeuille se sert pour interagir avec l’unité de portefeuille;

5) «application cryptographique sécurisée de portefeuille»: une application qui gère des actifs critiques en étant liée aux fonctions cryptographiques et non cryptographiques fournies par le dispositif cryptographique sécurisé de portefeuille et en utilisant ces fonctions;

6) «dispositif cryptographique sécurisé de portefeuille»: un dispositif inviolable qui fournit un environnement lié à l’application cryptographique sécurisée de portefeuille et utilisé par celle-ci pour protéger les actifs critiques et fournir des fonctions cryptographiques pour l’exécution sécurisée d’opérations critiques;

7) «actifs critiques»: les actifs se trouvant à l’intérieur d’une unité de portefeuille ou en rapport avec celle-ci et dont l’importance est tellement exceptionnelle que la capacité de se fier à l’unité de portefeuille serait très sérieusement affaiblie si leur disponibilité, leur confidentialité ou leur intégrité étaient compromises;

8) «fournisseur de portefeuille»: une personne physique ou morale qui fournit des solutions de portefeuille;

9) «utilisateur de portefeuille»: un utilisateur qui contrôle l’unité de portefeuille;

10) «registre national des parties utilisatrices de portefeuille»: un registre électronique national utilisé par un État membre pour mettre à la disposition du public les informations relatives aux parties utilisatrices de portefeuille enregistrées dans cet État membre, conformément à l’article 5 ter, paragraphe 5, du règlement (UE) n°910/2014;

11) «fournisseur de certificats d’accès de partie utilisatrice de portefeuille»: une personne physique ou morale mandatée par un État membre pour délivrer des certificats d’accès de partie utilisatrice de portefeuille aux parties utilisatrices de portefeuille enregistrées dans cet État membre;

12) «certificat d’accès de partie utilisatrice de portefeuille»: un certificat de cachet électronique ou de signature électronique qui authentifie et valide la partie utilisatrice de portefeuille et qui est délivré par un fournisseur de certificats d’accès de partie utilisatrice de portefeuille;

13) «fournisseur de données d’identification personnelle»: une personne physique ou morale chargée de délivrer et de révoquer les données d’identification personnelle et de veiller à ce que les données d’identification personnelle d’un utilisateur soient liées de manière cryptographique à une unité de portefeuille;

14) «bureau d’enregistrement des parties utilisatrices de portefeuille»: l’organisme désigné par un État membre et chargé de dresser et de tenir à jour la liste des parties utilisatrices de portefeuille enregistrées qui sont établies sur le territoire de cet État;

15) «certificat d’enregistrement de partie utilisatrice de portefeuille»: un objet de données qui décrit l’utilisation prévue de la partir utilisatrice et indique les attributs pour lesquels la partie utilisatrice a enregistré son intention de les demander aux utilisateurs;

16) «fournisseur de certificats d’enregistrement de partie utilisatrice de portefeuille»: une personne physique ou morale mandatée par un État membre pour délivrer des certificats d’enregistrement de partie utilisatrice de portefeuille aux parties utilisatrices de portefeuille enregistrées dans cet État membre.

Article 3
Registres nationaux

1. Les États membres mettent en place et tiennent à jour au moins un registre national des parties utilisatrices de portefeuille contenant des informations relatives aux parties utilisatrices de portefeuille enregistrées qui sont établies sur leur territoire.

2. Ce registre comporte au moins les informations indiquées à l’annexe I.

3. Les États membres désignent au moins un bureau d’enregistrement chargé de gérer et d’exploiter au moins un registre national des parties utilisatrices de portefeuille.

4. Les États membres mettent les informations visées à l’annexe I sur les parties utilisatrices de portefeuille enregistrées à la disposition du public en ligne, à la fois sous une forme lisible par l’être humain et sous une forme adaptée à un traitement automatisé.

5. Les informations visées au paragraphe 2 sont consultables par l’intermédiaire d’une interface de programmation d’application (API) commune unique et d’un site web national. Elles portent la signature électronique ou le cachet électronique du bureau d’enregistrement, apposés par lui ou en son nom, conformément aux exigences communes relatives à une API unique énoncées à l’annexe II, section 1.

6. Les États membres veillent à ce que l’API visée au paragraphe 5 soit conforme aux exigences communes énoncées à l’annexe II, section 2.

7. Les États membres veillent à ce que les registres soient conformes aux politiques d’enregistrement communes visées à l’article 4.

Article 4
Politiques d’enregistrement

1. Les États membres définissent et publient une ou plusieurs politiques d’enregistrement nationales applicables aux registres nationaux établis sur leur territoire.

2. Les États membres peuvent intégrer ou réutiliser des politiques d’enregistrement sectorielles ou nationales existantes.

3. La politique nationale d’enregistrement comprend au moins des informations sur:

• a) les procédures d’identification et d’authentification applicables aux parties utilisatrices de portefeuille lors de la procédure d’enregistrement;
• b) les pièces justificatives requises concernant l’identité, l’immatriculation au registre du commerce, les habilitations applicables et autres informations utiles sur la partie utilisatrice de portefeuille;
• c) les sources authentiques ou autres systèmes d’enregistrement électronique officiels, et dans quelle mesure il est possible de se fier à ces sources ou systèmes d’enregistrement pour l’obtention de données exactes;
• d) toute autre information ou tout autre élément de preuve requis dans le cadre de la procédure d’enregistrement;
• e) le cas échéant, les moyens automatisés permettant aux parties utilisatrices de portefeuille de s’enregistrer ou de mettre à jour un enregistrement existant;
• f) le mécanisme de recours dont disposent les parties utilisatrices de portefeuille en vertu des dispositions législatives et des procédures de l’État membre dans lequel le registre national est établi;
• g) les règles et procédures de vérification de l’identité des parties utilisatrices de portefeuille enregistrées et de toute autre information utile fournie par cette partie.

4. Les procédures et documents visés au paragraphe 3, points a) et b), permettent aux parties utilisatrices de portefeuille d’indiquer en vertu de quelles habilitations spécifiques elles agissent, comme indiqué à l’annexe I.

5. Le cas échéant, les exigences énoncées dans la politique d’enregistrement nationale ne font pas obstacle à un processus d’enregistrement automatisé.

Article 5
Informations à fournir aux registres nationaux

1. Les parties utilisatrices de portefeuille fournissent au moins les informations mentionnées à l’annexe I aux registres nationaux.

2. Les parties utilisatrices de portefeuille veillent à ce que les informations fournies soient exactes au moment de l’enregistrement.

3. Les parties utilisatrices de portefeuille mettent à jour sans retard injustifié toute information précédemment enregistrée dans le registre national des parties utilisatrices de portefeuille.

Article 6
Procédures d’enregistrement

1. Les bureaux d’enregistrement établissent des procédures d’enregistrement électroniques faciles à utiliser et, dans la mesure du possible, automatisées pour les parties utilisatrices de portefeuille.

2. Les bureaux d’enregistrement traitent les demandes d’enregistrement dans les meilleurs délais.et répondent à la demande d’enregistrement du demandeur dans le délai prévu par la politique d’enregistrement applicable, par des moyens appropriés et conformément aux dispositions législatives et aux procédures de l’État membre dans lequel le registre national est établi.

3. Dans la mesure du possible, les bureaux d’enregistrement vérifient de manière automatisée:

• a) l’exactitude, la validité, l’authenticité et l’intégrité des informations requises en vertu de l’article 5;
• b) le cas échéant, la procuration des représentants des parties utilisatrices de portefeuille, établie et présentée conformément aux dispositions législatives et aux procédures de l’État membre dans lequel le registre national est établi;
• c) le type d’habilitation des parties utilisatrices de portefeuille, tel que défini à l’annexe I;
• d) l’absence d’enregistrement existant dans un autre registre national.

4. Les bureaux d’enregistrement vérifient les informations énumérées au paragraphe 3 au regard des pièces justificatives fournies par les parties utilisatrices de portefeuille ou au regard de sources authentiques appropriées ou d’autres systèmes d’enregistrement électronique officiels dans l’État membre où le registre national est établi et auxquels les bureaux d’enregistrement ont accès conformément aux dispositions législatives et aux procédures nationales applicables.

5. La vérification des habilitations des parties utilisatrices de portefeuille visée au paragraphe 3, point c), est effectuée conformément à l’annexe III.

6. S’il n’est pas en mesure de vérifier les informations conformément aux paragraphes 3 à 5, le bureau d’enregistrement rejette l’enregistrement.

7. Lorsqu’une partie utilisatrice de portefeuille n’a plus l’intention de se fier à des unités de portefeuille pour la fourniture de services publics ou privés dans le cadre d’un enregistrement spécifique, elle en informe le bureau d’enregistrement compétent dans les meilleurs délais et demande l’annulation de cet enregistrement.

Article 7
Certificats d’accès de partie utilisatrice de portefeuille

1. Les États membres autorisent au moins une autorité de certification à délivrer des certificats d’accès de partie utilisatrice de portefeuille.

2. Les États membres veillent à ce que les fournisseurs de certificats d’accès de partie utilisatrice de portefeuille délivrent lesdits certificats aux seules parties utilisatrices de portefeuille enregistrées.

3. Les États membres établissent des politiques en matière de certificats et des énoncés des pratiques de certification spécifiques pour les certificats d’accès de partie utilisatrice de portefeuille, conformément aux exigences énoncées à l’annexe IV.

Article 8
Certificats d’enregistrement de partie utilisatrice de portefeuille

1. Les États membres peuvent autoriser au moins une autorité de certification à délivrer des certificats d’enregistrement de partie utilisatrice de portefeuille.

2. Lorsqu’un État membre a autorisé la délivrance d’un certificat d’enregistrement de partie utilisatrice de portefeuille, cet État membre:

• a) impose aux fournisseurs de certificats d’enregistrement de partie utilisatrice de portefeuille l’obligation de délivrer lesdits certificats aux seules parties utilisatrices de portefeuille enregistrées;
• b) veille à ce que chaque utilisation prévue soit exprimée dans les certificats d’enregistrement de partie utilisatrice de portefeuille;
• c) veille à ce que les certificats d’enregistrement de partie utilisatrice de portefeuille comportent une politique d’accès générale, dont l’harmonisation syntaxique et sémantique est assurée dans l’ensemble de l’Union, informant les utilisateurs que la partie utilisatrice de portefeuille est uniquement autorisée à demander les données spécifiées dans les certificats d’enregistrement pour l’utilisation prévue enregistrée dans lesdits certificats;
• d) veille à ce que les fournisseurs de solutions de portefeuille établis dans cet État membre se conforment à la politique d’accès générale en informant les utilisateurs lorsqu’une partie utilisatrice de portefeuille demande des données qui ne figurent pas dans les certificats d’enregistrement;
• e) met en oeuvre les certificats d’enregistrement de partie utilisatrice de portefeuille en assurant leur harmonisation syntaxique et sémantique et dans le respect des exigences énoncées à l’annexe V;
• f) met en oeuvre des politiques en matière de certificats et des énoncés des pratiques de certification spécifiques pour les certificats d’enregistrement de partie utilisatrice de portefeuille, conformément aux exigences énoncées à l’annexe V;
• g) veille à ce que les parties utilisatrices de portefeuille fournissent un URL pour la politique en matière de protection de la vie privée concernant l’utilisation prévue.

3. La politique visée au point g) est exprimée dans le certificat d’enregistrement de partie utilisatrice de portefeuille.

Article 9
Suspension et annulation d’un enregistrement

1. Les bureaux d’enregistrement suspendent ou annulent l’enregistrement d’une partie utilisatrice de portefeuille lorsque cette suspension ou cette annulation est demandée par un organe de contrôle en vertu de l’article 46 bis, paragraphe 4, point f), du règlement (UE) n°910/2014.

2. Les bureaux d’enregistrement peuvent suspendre ou annuler l’enregistrement d’une partie utilisatrice de portefeuille lorsqu’ils ont des raisons de croire que l’une des situations suivantes s’est produite:

• a) l’enregistrement contient des informations inexactes, obsolètes ou trompeuses;
• b) la partie utilisatrice de portefeuille ne respecte pas la politique d’enregistrement;
• c) la partie utilisatrice de portefeuille demande plus d’attributs qu’elle n’en a enregistré conformément à l’article 5 et à l’article 6;
• d) plus généralement, la partie utilisatrice de portefeuille agit en violation du droit de l’Union ou du droit national dans le cadre de son rôle de partie utilisatrice de portefeuille.

3. Les bureaux d’enregistrement suspendent ou annulent l’enregistrement d’une partie utilisatrice de portefeuille lorsque la demande d’annulation ou de suspension émane de cette même partie.

4. Lorsqu’il envisage la suspension ou l’annulation conformément au paragraphe 2, le bureau d’enregistrement procède à une évaluation de la proportionnalité, en tenant compte de l’incidence sur les droits fondamentaux, la sécurité et la confidentialité des utilisateurs de l’écosystème, ainsi que de la gravité des perturbations que devraient causer la suspension ou l’annulation et des coûts qui s’ensuivent, tant pour la partie utilisatrice de portefeuille que pour l’utilisateur. Sur la base des résultats de cette évaluation, le bureau d’enregistrement peut suspendre ou annuler l’enregistrement, avec ou sans préavis adressé à la partie utilisatrice de portefeuille concernée.

5. En cas de suspension ou d’annulation de l’enregistrement d’une partie utilisatrice de portefeuille, le bureau d’enregistrement en informe le fournisseur des certificats d’accès de partie utilisatrice de portefeuille concernés, le fournisseur des certificats d’enregistrement de partie utilisatrice de portefeuille concernés et la partie utilisatrice de portefeuille affectée dans les meilleurs délais et au plus tard 24 heures après la suspension ou l’annulation. Cette notification comprend des informations relatives aux motifs de la suspension ou de l’annulation ainsi qu’aux voies de recours disponibles.

6. Le fournisseur de certificats d’accès de partie utilisatrice de portefeuille et le fournisseur de certificats d’enregistrement de partie utilisatrice de portefeuille révoquent, le cas échéant, dans les meilleurs délais, les certificats d’accès de partie utilisatrice de portefeuille et les certificats d’enregistrement de partie utilisatrice de portefeuille, selon le cas, de la partie utilisatrice de portefeuille dont l’enregistrement a été suspendu ou annulé.

Article 10
Conservation des informations

Les bureaux d’enregistrement conservent pendant 10 ans les informations fournies par les parties utilisatrices de portefeuille et enregistrées conformément à l’annexe I aux fins de l’enregistrement d’une partie utilisatrice de portefeuille et de la délivrance des certificats d’accès de partie utilisatrice de portefeuille et des certificats d’enregistrement de partie utilisatrice de portefeuille, ainsi que toute modification ultérieure de ces informations.

Article 11
Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il est applicable à partir du 24 décembre 2026.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 6 mai 2025.

Par la Commission
La présidente
Ursula VON DER LEYEN
                
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (JO L 210 du 14.6.2021, p. 51, ELI: http://data. europa.eu/eli/reco/2021/946/oj).
(3) Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/ eli/reg/2024/1183/oj).
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) JO C 23 du 23.1.2023, p. 1.
(6) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).

ANNEXE I
Informations concernant les parties utilisatrices de portefeuille

1. Le cas échéant, le nom de la partie utilisatrice de portefeuille, tel qu’il figure dans un système d’enregistrement officiel, ainsi que les données d’identification de ce système d’enregistrement officiel.

• a) À défaut, le point 2 s’applique.

2. Le cas échéant, un pseudonyme commode de la partie utilisatrice de portefeuille, qui peut être une raison sociale ou un nom de service reconnaissable par l’utilisateur.

3. Le cas échéant, un ou plusieurs identifiants de la partie utilisatrice de portefeuille, tels qu’ils figurent dans un système d’enregistrement officiel, ainsi que les données d’identification de ce système d’enregistrement officiel, exprimés sous les formes suivantes:

• a) un numéro d’enregistrement et d’identification des opérateurs économiques (numéro EORI) au sens du règlement d’exécution (UE) n°1352/2013 de la Commission (1);
• b) un numéro d’immatriculation consigné dans un registre national du commerce;
• c) un identifiant d’entité juridique (LEI) au sens du règlement d’exécution (UE) 2022/1860 de la Commission (2);
• d) un numéro d’identification à la taxe sur la valeur ajoutée (TVA);
• e) un numéro d’accise au sens de l’article 2, point 12), du règlement (UE) n°389/2012 du Conseil (3);
• f) un numéro de référence fiscal;
• g) un identifiant unique européen (EUID) au sens du règlement d’exécution (UE) 2021/1042 de la Commission (4);
• h) un ou plusieurs autres identifiants nationaux.

4. L’adresse physique du lieu d’établissement de la partie utilisatrice de portefeuille.

5. Le cas échéant, un localisateur uniforme de ressources (URL) appartenant la partie utilisatrice de portefeuille.

6. Lorsque l’identifiant est exprimé conformément au point 3, point a), d), f) ou h), il est précédé du code pays de l’État membre dans lequel la partie utilisatrice de portefeuille est établie, à savoir le code ISO 3166-1 alpha-2, sauf pour la Grèce, dont le code pays est «EL».

7. Les coordonnées de contact de la partie utilisatrice de portefeuille, comprenant au moins l’un des éléments suivants:

• a) un site web permettant de contacter la partie utilisatrice de portefeuille pour les questions relatives à la fourniture de services d’assistance et d’appui;
• b) un numéro de téléphone permettant de contacter la partie utilisatrice de portefeuille pour les questions relatives à son enregistrement et à l’utilisation prévue des unités de portefeuille;
• c) une adresse électronique permettant de contacter la partie utilisatrice de portefeuille pour les questions relatives à son enregistrement et à l’utilisation prévue de l’unité de portefeuille.

8. Une description du type de services que fournit la partie utilisatrice de portefeuille.

9. Pour chaque utilisation prévue, une liste des données, comprenant les attestations et attributs, que la partie utilisatrice a l’intention de demander, un pseudonyme commode et une dénomination technique, le type d’attestation et toute autre syntaxe sous laquelle sont groupées les données, dans un format lisible par la machine aux fins d’un traitement automatisé.

10. Pour chaque utilisation prévue, une description de l’utilisation prévue des données que la partie utilisatrice de portefeuille a l’intention de demander aux unités de portefeuille.

11. Une mention indiquant si la partie utilisatrice de portefeuille est un organisme du secteur public.

12. La ou les habilitations de la partie utilisatrice de portefeuille, exprimées sous les formes suivantes:

• a) «Service_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services;
• b) «QEAA_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services de confiance qualifié délivrant des attestations électroniques d’attributs qualifiées;
• c) «Non_Q_EAA_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services de confiance délivrant des attestations électroniques d’attributs non qualifiées;
• d) «PUB_EAA_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que fournisseur d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte;
• e) «PID_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que fournisseur de données d’identification personnelle;
• f) «QCert_for_ESeal_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services de confiance qualifié délivrant des certificats qualifiés de cachet électronique;
• g) «QCert_for_ESig_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services de confiance qualifié délivrant des certificats qualifiés de signature électronique;
• h) «rQSigCDs_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services de confiance qualifié fournissant des services de confiance qualifiés pour la gestion d’un dispositif de création de signature électronique qualifié à distance;
• i) «rQSealCDs_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services de confiance qualifié fournissant des services de confiance qualifiés pour la gestion d’un dispositif de création de cachet électronique qualifié à distance;
• j) «ESig_ESeal_Creation_Provider» pour exprimer l’habilitation de la partie utilisatrice de portefeuille en tant que prestataire de services de confiance non qualifié fournissant un service de confiance non qualifié pour la création à distance de signatures électroniques ou de cachets électroniques.

13. En ce qui concerne le paragraphe 12, point c), les États membres peuvent prévoir des sous-habilitations supplémentaires précisant quelles sont les attestations délivrées par une entité non qualifiée donnée délivrant des attestations électroniques d’attributs.

14. Le cas échéant, une mention indiquant que la partie utilisatrice de portefeuille recourt à un intermédiaire agissant pour le compte de la partie utilisatrice qui a l’intention de se fier au portefeuille.

15. Le cas échéant, un lien d’association avec l’intermédiaire auquel la partie utilisatrice de portefeuille recourt et qui agit pour le compte de la partie utilisatrice qui a l’intention de se fier au portefeuille.
                 
(1) Règlement d’exécution (UE) n°1352/2013 de la Commission du 4 décembre 2013 établissant les formulaires prévus par le règlement (UE) n°608/2013 du Parlement européen et du Conseil concernant le contrôle, par les autorités douanières, du respect des droits de propriété intellectuelle (JO L 341 du 18.12.2013, p. 10, ELI: http://data.europa.eu/eli/reg_impl/2013/1352/oj).
(2) Règlement d’exécution (UE) 2022/1860 de la Commission du 10 juin 2022 définissant des normes techniques d’exécution pour l’application du règlement (UE) n°648/2012 du Parlement européen et du Conseil en ce qui concerne les normes, les formats, la fréquence et les méthodes et modalités de déclaration (JO L 262 du 7.10.2022, p. 68, ELI: http://data.europa.eu/eli/reg_impl/2022/ 1860/oj).
(3) Règlement (UE) n°389/2012 du Conseil du 2 mai 2012 concernant la coopération administrative dans le domaine des droits d’accise et abrogeant le règlement (CE) n°2073/2004 (JO L 121 du 8.5.2012, p. 1, ELI: http://data.europa.eu/eli/reg/2012/389/oj).
(4) Règlement d’exécution (UE) 2021/1042 de la Commission du 18 juin 2021 fixant les modalités d’application de la directive (UE) 2017/1132 du Parlement européen et du Conseil établissant les spécifications techniques et les procédures nécessaires au système d’interconnexion des registres et abrogeant le règlement d’exécution (UE) 2020/2244 de la Commission (JO L 225 du 25.6.2021, p. 7, ELI: http://data.europa.eu/eli/reg_impl/2021/1042/oj).

ANNEXE II

1. EXIGENCES APPLICABLES AUX SIGNATURES ÉLECTRONIQUES OU AUX CACHETS ÉLECTRONIQUES APPOSÉS SUR LES INFORMATIONS MISES À DISPOSITION À PROPOS DES PARTIES UTILISATRICES DE PORTEFEUILLE ENREGISTRÉES VISÉES À L’ARTICLE 3

• JavaScript Object Notation («JSON»),
• IETF 7515 pour les signatures web JSON.

2. EXIGENCES RELATIVES À L’API COMMUNE UNIQUE VISÉE À L’ARTICLE 3

1. L’API commune unique:

• a) est une API REST, prenant en charge le format JSON et signée conformément aux exigences applicables spécifiées à la section 1;
• b) permet à tout demandeur, sans authentification préalable, d’effectuer des recherches et de demander des listes complètes au registre, en vue d’obtenir des informations sur les parties utilisatrices de portefeuille enregistrées, en procédant par concordance partielle sur la base de paramètres définis comprenant, selon le cas, le numéro d’enregistrement officiel ou le numéro d’immatriculation au registre du commerce de la partie utilisatrice de portefeuille, le nom de la partie utilisatrice de portefeuille ou les informations visées à l’article 8, paragraphe 2, point g), et à l’annexe I, points 12, 13, 14 et 15;
• c) fait en sorte que les réponses aux requêtes visées au point b) qui correspondent à au moins une partie utilisatrice de portefeuille comprennent une ou plusieurs mentions se rapportant aux informations concernant les parties utilisatrices de portefeuille enregistrées et aux informations visées à l’annexe I, ainsi que les certificats d’accès de partie utilisatrice de portefeuille et les certificats d’enregistrement de partie utilisatrice de portefeuille actuels et historiques, mais excluent les coordonnées de contact visées à l’annexe I, point 4;
• d) est publiée sous la forme d’une OpenAPI version 3, accompagnée de la documentation et des spécifications techniques appropriées garantissant l’interopérabilité dans l’ensemble de l’Union;
• e) comporte des fonctions de sécurité, comprenant la sécurité par défaut et dès la conception, afin de garantir la disponibilité et l’intégrité de l’API et la disponibilité des informations obtenues par son intermédiaire.

2. Les mentions visées au point c) sont exprimées sous la forme de fichiers JSON portant une signature électronique ou un cachet électronique, dont le format et la structure sont conformes aux exigences relatives aux signatures ou aux cachets électroniques énoncées à la section 1.

ANNEXE III
Source des pièces justificatives pour la vérification des habilitations des parties utilisatrices de portefeuille au sens de l’article 6

1. La vérification destinée à établir qu’une partie utilisatrice de portefeuille est un fournisseur d’attestations électroniques qualifiées d’attributs, un fournisseur de certificats qualifiés de signatures ou de cachets électroniques ou un prestataire de services de confiance qualifié pour la gestion de dispositifs de création de signatures ou de cachets électroniques qualifiés à distance est fondée sur les listes nationales de confiance publiées conformément à l’article 22 du règlement (UE) n°910/2014.

2. La vérification destinée à établir qu’une partie utilisatrice de portefeuille est un fournisseur d’attestations électroniques non qualifiées d’attributs ou un prestataire assurant la création à distance de signatures ou de cachets électroniques en tant que service de confiance non qualifié est fondée, selon le cas, sur les listes nationales de confiance publiées conformément à l’article 22 du règlement (UE) n°910/2014 ou, pour les prestataires de services de confiance non qualifiés qui ne sont pas inscrits sur ces listes nationales de confiance, sur les procédures de vérification que les États membres ont définies dans leurs politiques d’enregistrement conformément à l’article 4.

3. La vérification destinée à établir qu’une partie utilisatrice de portefeuille est un fournisseur de données d’identification personnelle est fondée sur la liste des fournisseurs de données d’identification personnelle publiée par la Commission conformément à l’article 5 bis, paragraphe 18, du règlement (UE) n°910/2014.

4. La vérification destinée à établir qu’une partie utilisatrice de portefeuille est un fournisseur d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte est fondée sur la liste publiée par la Commission conformément à l’article 45 septies, paragraphe 3, du règlement (UE) n°910/2014.

ANNEXE IV
Exigences applicables aux certificats d’accès de partie utilisatrice de portefeuille visés à l’article 7

1. La politique en matière de certificats d’accès de partie utilisatrice de portefeuille applicable à la fourniture de ces certificats décrit les exigences de sécurité et les règles d’applicabilité attachées à ces certificats afin que les parties utilisatrices de portefeuille puissent obtenir et utiliser ces certificats dans leurs interactions avec les solutions de portefeuille.

2. L’énoncé des pratiques de certification pour les certificats d’accès de partie utilisatrice de portefeuille applicable à la fourniture de certificats d’accès de partie utilisatrice de portefeuille décrit les pratiques auxquelles recourt un fournisseur de tels certificats pour les délivrer, les gérer, les révoquer et renouveler leur clé.

3. La politique en matière de certificats et l’énoncé des pratiques de certification applicables à la fourniture de certificats d’accès de partie utilisatrice de portefeuille font l’objet d’une harmonisation syntaxique et sémantique dans l’ensemble de l’Union, sont, le cas échéant, au moins conformes aux exigences de la politique de certification normalisée énoncées dans la norme ETSI EN 319411-1 version 1.4.1 (2023-10) et comprennent:

• a) une description claire de la hiérarchie de l’infrastructure à clé publique et des chemins de certification depuis les certificats d’accès de partie utilisatrice de portefeuille de l’entité finale jusqu’au sommet de la hiérarchie utilisée pour les délivrer, en indiquant la ou les ancres de confiance prévues dans cette hiérarchie et ces chemins qui devraient s’appuyer sur le cadre de confiance établi conformément à l’article 5 bis, paragraphe 18, du règlement (UE) n°910/2014;
• b) une description complète des procédures de délivrance des certificats d’accès de partie utilisatrice de portefeuille, y compris pour la vérification de l’identité et tout autre attribut de la partie utilisatrice de portefeuille à laquelle un certificat de partie utilisatrice de portefeuille doit être délivré;
• c) l’obligation incombant aux fournisseurs de certificats d’accès de partie utilisatrice de portefeuille de vérifier, lors de la délivrance d’un tel certificat, que:
  • la partie utilisatrice de portefeuille est inscrite et jouit d’un statut d’enregistrement valide dans un registre national des parties utilisatrices de portefeuille de l’État membre dans lequel elle est établie,
  • toute information figurant dans le certificat d’accès de partie utilisatrice de portefeuille est exacte et compatible avec les données d’enregistrement disponibles dans ce registre;
• d) une description complète des procédures de révocation des certificats d’accès de partie utilisatrice de portefeuille;
• e) l’obligation incombant aux fournisseurs de certificats d’accès de partie utilisatrice de portefeuille de mettre en oeuvre des mesures et des procédures pour:
  • assurer un suivi permanent des modifications du registre national des parties utilisatrices de portefeuille dans lequel sont enregistrées les parties utilisatrices de portefeuille auxquelles ils ont délivré des certificats d’accès de partie utilisatrice,
  • révoquer, lorsque ces modifications l’exigent, tout certificat de partie utilisatrice de portefeuille que le fournisseur a délivré à la partie utilisatrice de portefeuille concernée, en particulier lorsque le contenu du certificat n’est plus exact ni compatible avec les informations enregistrées ou lorsque l’enregistrement de la partie utilisatrice de portefeuille est suspendu ou annulé;
• f) une description complète des procédures et mécanismes permettant la validation harmonisée des certificats d’accès de partie utilisatrice de portefeuille dans l’ensemble de l’Union;
• g) l’obligation incombant aux fournisseurs de certificats d’accès de partie utilisatrice de portefeuille de permettre aux acteurs concernés, parmi lesquels les parties utilisatrices de portefeuille en ce qui concerne leurs propres certificats, les organes de contrôle compétents et les autorités chargées de la protection des données, de demander la révocation de certificats d’accès de partie utilisatrice de portefeuille;
• h) l’obligation incombant aux fournisseurs de certificats d’accès de partie utilisatrice de portefeuille de consigner toutes ces révocations dans leur base de données sur les certificats et de publier le statut de révocation du certificat en temps utile, et en tout état de cause dans les 24 heures suivant la réception de la demande de révocation;
• i) l’obligation incombant aux fournisseurs de certificats d’accès de partie utilisatrice de portefeuille de fournir des informations sur le statut de validité ou de révocation des certificats de partie utilisatrice de portefeuille qu’ils ont délivrés;
• j) une description, le cas échéant, de la manière dont un fournisseur de certificats d’accès de partie utilisatrice de portefeuille journalise tous les certificats d’accès de partie utilisatrice de portefeuille qu’il a délivrés, conformément à la norme RFC 9162 version 2.0 de l’IETF sur la transparence des certificats;
• k) l’obligation en vertu de laquelle les certificats d’accès de partie utilisatrice de portefeuille doivent comprendre:
  • l’endroit où peut être obtenu le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé figurant sur ce certificat, pour l’ensemble du chemin de certification à constituer jusqu’à l’ancre de confiance prévue dans la hiérarchie de l’infrastructure à clé publique utilisée par le fournisseur,
  • une référence pouvant être traitée par la machine à la politique en matière de certificats et à l’énoncé des pratiques de certification applicables,
  • les informations visées à l’annexe I, points 1, 2, 3, 5, 6 et 7, a), b) et c).

4. La révocation visée au point 3, g), prend effet dès sa publication.

5. Les informations visées au point 3, h), sont mises à disposition au moins à l’échelon du certificat, à tout moment et au moins au-delà de la période de validité du certificat, d’une manière automatisée, fiable, gratuite et efficace, conformément à la politique en matière de certificats.

ANNEXE V
Exigences applicables aux certificats d’enregistrement de partie utilisatrice de portefeuille visés à l’article 8

1. La politique en matière de certificats d’enregistrement de partie utilisatrice de portefeuille applicable à la fourniture de ces certificats décrit les exigences de sécurité et les règles d’applicabilité attachées à ces certificats aux fins de leur délivrance aux parties utilisatrices de portefeuille et de leur utilisation par celles-ci dans leurs interactions avec les solutions de portefeuille. La politique en matière de certificats d’enregistrement de partie utilisatrice de portefeuille est publiée dans un format lisible par l’être humain.

2. L’énoncé des pratiques de certification pour les certificats d’enregistrement de partie utilisatrice de portefeuille applicable à la fourniture de ces certificats décrit les pratiques auxquelles recourt un fournisseur de tels certificats pour les délivrer, les gérer, les révoquer et renouveler leur clé et, le cas échéant, les modalités de leur relation avec les certificats d’accès de partie utilisatrice de portefeuille délivrés aux parties utilisatrices de portefeuille. L’énoncé des pratiques de certification pour les certificats d’enregistrement de partie utilisatrice de portefeuille est publié dans un format lisible par l’être humain.

3. La politique en matière de certificats et l’énoncé des pratiques de certification pour les certificats d’enregistrement de partie utilisatrice de portefeuille applicables à la fourniture de ces certificats font l’objet d’une harmonisation syntaxique et sémantique dans l’ensemble de l’Union, sont au moins conformes aux exigences applicables de la politique de certification normalisée énoncées dans la norme ETSI EN 319411-1 version 1.4.1 (2023-10) et comprennent:

• a) une description claire de la hiérarchie de l’infrastructure à clé publique et des chemins de certification depuis les certificats d’enregistrement de partie utilisatrice de portefeuille de l’entité finale jusqu’au sommet de la hiérarchie utilisée pour les délivrer, en indiquant la ou les ancres de confiance prévues dans cette hiérarchie et ces chemins;
• b) une description complète des procédures de délivrance des certificats d’enregistrement de partie utilisatrice de portefeuille, y compris pour la vérification de l’identité et de tout attribut de la partie utilisatrice de portefeuille à laquelle un certificat de partie utilisatrice de portefeuille doit être délivré;
• c) l’obligation incombant au fournisseur de certificats d’enregistrement de partie utilisatrice de portefeuille de vérifier, lors de la délivrance d’un tel certificat, que:
  • la partie utilisatrice de portefeuille est inscrite et jouit d’un statut d’enregistrement valide dans un registre national des parties utilisatrices de portefeuille de l’État membre dans lequel elle est établie,
  • les informations figurant dans le certificat d’enregistrement de partie utilisatrice de portefeuille sont exactes et compatibles avec les données d’enregistrement disponibles dans ce registre,
  • le certificat d’accès de partie utilisatrice de portefeuille est valide,
  • la description des procédures de révocation des certificats d’enregistrement de partie utilisatrice de portefeuille est complète;
• d) l’obligation incombant aux fournisseurs de certificats d’enregistrement de partie utilisatrice de portefeuille de mettre en oeuvre des mesures et des procédures pour:
  • assurer un suivi permanent et automatisé des modifications du registre national des parties utilisatrices de portefeuille dans lequel sont enregistrées les parties utilisatrices de portefeuille auxquelles ils ont délivré des certificats d’enregistrement de partie utilisatrice,
  • délivrer à nouveau le certificat d’enregistrement de partie utilisatrice de portefeuille,
  • révoquer tout certificat d’enregistrement de partie utilisatrice de portefeuille qu’ils ont délivré à la partie utilisatrice de portefeuille concernée lorsque ces modifications l’exigent, en particulier lorsque le contenu du certificat n’est plus exact ni compatible avec les données enregistrées ou lorsque l’enregistrement de la partie utilisatrice de portefeuille est modifié, suspendu ou annulé;
• e) une description complète des procédures et mécanismes permettant la validation harmonisée des certificats d’enregistrement de partie utilisatrice de portefeuille;
• f) l’obligation incombant au fournisseur de certificats d’enregistrement de partie utilisatrice de portefeuille de permettre aux acteurs concernés, parmi lesquels les parties utilisatrices de portefeuille en ce qui concerne leurs propres certificats, les organes de contrôle compétents et les autorités chargées de la protection des données, de demander la révocation de certificats d’enregistrement de partie utilisatrice de portefeuille;
• g) l’obligation incombant au fournisseur de certificats d’enregistrement de partie utilisatrice de portefeuille de consigner toutes ces révocations dans sa base de données sur les certificats et de publier le statut de révocation du certificat en temps utile, et en tout état de cause dans les 24 heures suivant la réception de la demande de révocation;
• h) l’obligation incombant aux fournisseurs de certificats d’enregistrement de partie utilisatrice de portefeuille de fournir des informations sur le statut de validité ou de révocation des certificats d’enregistrement de partie utilisatrice de portefeuille qu’ils ont délivrés;
• i) une description, le cas échéant, de la manière dont un fournisseur de certificats d’enregistrement de partie utilisatrice de portefeuille journalise tous les certificats d’enregistrement de partie utilisatrice de portefeuille qu’il a délivrés;
• j) l’obligation en vertu de laquelle les certificats d’enregistrement de partie utilisatrice de portefeuille doivent:
  • comprendre l’endroit où peuvent être obtenues les données de validation de la signature électronique avancée ou du cachet électronique avancé pour le certificat ayant servi à apposer une signature ou un cachet sur le certificat d’enregistrement, pour l’ensemble de la chaîne de confiance à constituer jusqu’à l’ancre de confiance,
  • comprendre une référence lisible par la machine à la politique en matière de certificats et à l’énoncé des pratiques de certification applicables,
  • comprendre les informations visées à l’annexe I, points 1, 2, 3, 5, 6 et 8, 9, 10, 11, 12, 13, 14 et 15,
  • comprendre l’URL de la politique en matière de protection de la vie privée visé à l’article 8, paragraphe 2, point g),
  • inclure une politique d’accès générale au sens de l’article 8, paragraphe 3;

4. Le format d’échange de données pour le certificat d’enregistrement de partie utilisatrice de portefeuille est signé aux formats JSON Web Tokens (IETF RFC 7519) et CBOR Web Tokens (IETF RFC 8392).

5. La révocation visée au point 3, g), prend effet dès sa publication.

6. Les informations visées au point 3, h), sont mises à disposition au moins à l’échelon du certificat, à tout moment et au moins au-delà de la période de validité du certificat, d’une manière automatisée, fiable, gratuite et efficace, conformément à la politique en matière de certificats.