5. Cybersécurité 
5.3. Sécurité informatique et de l'information
5.3. Sécurité informatique et de l'information
Règlement d'exécution (UE) 2025/849 de la Commission du 6 mai 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne la communication à la Commission et au groupe de coopération d’informations destinées à la liste des portefeuilles européens d’identité numérique certifiés
| Date de signature : | 06/05/2025 | Statut du texte : | En vigueur |
| Date de publication : | 07/05/2025 | Emetteur : | |
| Consolidée le : | Source : | JOUE Série L du 7 mai 2025 | |
| Date d'entrée en vigueur : | 27/05/2025 |
Règlement d'exécution (UE) 2025/849 de la Commission du 6 mai 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne la communication à la Commission et au groupe de coopération d’informations destinées à la liste des portefeuilles européens d’identité numérique certifiés
LA COMMISSION EUROPÉENNE,
(1) Le cadre européen relatif à une identité numérique (ci-après le «cadre») établi par le règlement (UE) n°910/2014 est un élément essentiel pour la mise en place d’un écosystème d’identité numérique sécurisé et interopérable dans l’ensemble de l’Union. Avec pour pierre angulaire les portefeuilles européens d’identité numérique (ci-après les «portefeuilles»), il vise à faciliter l’accès aux services en ligne dans l’ensemble des États membres, pour les citoyens, les résidents et les entreprises, tout en garantissant la protection des données à caractère personnel et le respect de la vie privée.
(2) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (2) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (3) s’appliquent aux activités de traitement de données à caractère personnel au titre du présent règlement.
(3) Afin que la Commission puisse établir, publier au Journal officiel de l’Union européenneet tenir à jour, sous une forme lisible par machine, une liste sur laquelle figurent les informations concernant les portefeuilles certifiés communiquées par les États membres, il convient qu’elle établisse les formats et les procédures permettant aux États membres de communiquer les informations requises à la Commission et au groupe de coopération européen en matière d’identité numérique institué en vertu de l’article 46 sexies, paragraphe 1, du règlement (UE) n°910/2014 (ci-après le «groupe de coopération»), et de les actualiser. Étant donné que les informations communiquées sont destinées à être utilisées par la Commission, le groupe de coopération et le grand public, les États membres devraient les communiquer au moins en anglais, car cela les rend plus accessibles et plus faciles à évaluer et à comprendre, tout en renforçant la coopération.
(4) Les informations sur les portefeuilles certifiés que les États membres devraient communiquer sont essentielles pour garantir la confiance, la transparence et l’harmonisation dans l’ensemble de l’écosystème des portefeuilles, en favorisant un climat de confiance pour les utilisateurs de portefeuille, les fournisseurs de portefeuille et les autorités de régulation. Parmi ces informations devrait figurer une description de la solution de portefeuille et du schéma d’identification électronique dans le cadre duquel la solution de portefeuille est fournie. Cette description devrait contenir des détails sur l’autorité ou les autorités responsables de la solution de portefeuille et du schéma d’identification électronique, le régime de contrôle applicable, le régime de responsabilité en ce qui concerne la partie fournissant la solution de portefeuille, les dispositions concernant la suspension ou la révocation du schéma d’identification électronique, de la solution de portefeuille fournie dans le cadre de ce schéma ou de toute partie compromise de ce schéma, ainsi que sur le certificat et le rapport d’évaluation de la certification concernant la fourniture et le fonctionnement des solutions de portefeuille et des schémas d’identification électronique dans le cadre desquels elles sont fournies. Les informations devraient être suffisantes pour permettre à la Commission d’établir, de publier au Journal officiel de l’Union européenneet de tenir à jour, sous une forme lisible par machine, une liste des portefeuilles certifiés. Le canal électronique sécurisé utilisé pour communiquer les informations relatives aux portefeuilles certifiés devrait éviter que les États membres ne fournissent les mêmes informations en double.
(5) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (4) et a rendu son avis le 31 janvier 2025.
(6) Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement établit les formats et les procédures applicables à la communication à la Commission et au groupe de coopération, par les États membres, d’informations pour la liste des portefeuilles certifiés, en application de l’article 5 quinquiesdu règlement (UE) n°910/2014, lesquels formats et procédures doivent être régulièrement actualisés pour tenir compte de l’évolution des technologies et des normes, ainsi que des travaux réalisés sur la base de la recommandation (UE) 2021/946 de la Commission (5), et en particulier de l’architecture et du cadre de référence.
Article 2
Définitions
Aux fins du présent règlement, on entend par:
1) «solution de portefeuille»: une combinaison de logiciels, de matériel, de services, de paramètres et de configurations, y compris des instances de portefeuille, une ou plusieurs applications cryptographiques sécurisées de portefeuille et un ou plusieurs dispositifs cryptographiques sécurisés de portefeuille;
2) «instance de portefeuille»: l’application installée et configurée sur l’appareil ou dans l’environnement d’un utilisateur de portefeuille, qui fait partie d’une unité de portefeuille et dont l’utilisateur de portefeuille se sert pour interagir avec l’unité de portefeuille;
3) «unité de portefeuille»: une configuration unique d’une solution de portefeuille comprenant des instances de portefeuille, des applications cryptographiques sécurisées de portefeuille et des dispositifs cryptographiques sécurisés de portefeuille, fournie par un fournisseur de portefeuille à un utilisateur de portefeuille donné;
4) «fournisseur de portefeuille»: une personne physique ou morale qui fournit des solutions de portefeuille;
5) «utilisateur de portefeuille»: un utilisateur qui contrôle l’unité de portefeuille;
6) «application cryptographique sécurisée de portefeuille»: une application qui gère des actifs critiques en étant liée aux fonctions cryptographiques et non cryptographiques fournies par le dispositif cryptographique sécurisé de portefeuille et en utilisant ces fonctions;
7) «dispositif cryptographique sécurisé de portefeuille»: un dispositif inviolable qui fournit un environnement lié à l’application cryptographique sécurisée de portefeuille et utilisé par celle-ci pour protéger les actifs critiques et fournir des fonctions cryptographiques pour l’exécution sécurisée d’opérations critiques;
8) «actifs critiques»: les actifs se trouvant à l’intérieur d’une unité de portefeuille ou en rapport avec celle-ci et dont l’importance est tellement exceptionnelle que la capacité de se fier à l’unité de portefeuille serait très sérieusement affaiblie si leur disponibilité, leur confidentialité ou leur intégrité étaient compromises;
9) «fournisseur de données d’identification personnelle»: une personne physique ou morale chargée de délivrer et de révoquer les données d’identification personnelle et de veiller à ce que les données d’identification personnelle d’un utilisateur soient liées de manière cryptographique à une unité de portefeuille.
Article 3
Format et procédure applicable aux informations à communiquer par les États membres à la Commission et informations à communiquer
1. Les États membres communiquent à la Commission et au groupe de coopération les informations visées à l’annexe par l’intermédiaire d’un canal électronique sécurisé mis à disposition par la Commission.
2. Les États membres communiquent les informations requises au paragraphe 1 au moins en anglais.
3. En cas de modification des informations communiquées, notamment des modifications apportées au statut de certification des portefeuilles, les États membres communiquent les informations actualisées par le canal visé au paragraphe 1.
Article 4
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 6 mai 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(5) Recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (JO L 210 du 14.6.2021, p. 51, ELI: http://data. europa.eu/eli/reco/2021/946/oj).
ANNEXE
Informations à communiquer par les États membres
1. Motif de la communication, à choisir parmi les motifs suivants:
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 5 quinquies, paragraphe 7,
(1) Le cadre européen relatif à une identité numérique (ci-après le «cadre») établi par le règlement (UE) n°910/2014 est un élément essentiel pour la mise en place d’un écosystème d’identité numérique sécurisé et interopérable dans l’ensemble de l’Union. Avec pour pierre angulaire les portefeuilles européens d’identité numérique (ci-après les «portefeuilles»), il vise à faciliter l’accès aux services en ligne dans l’ensemble des États membres, pour les citoyens, les résidents et les entreprises, tout en garantissant la protection des données à caractère personnel et le respect de la vie privée.
(2) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (2) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (3) s’appliquent aux activités de traitement de données à caractère personnel au titre du présent règlement.
(3) Afin que la Commission puisse établir, publier au Journal officiel de l’Union européenneet tenir à jour, sous une forme lisible par machine, une liste sur laquelle figurent les informations concernant les portefeuilles certifiés communiquées par les États membres, il convient qu’elle établisse les formats et les procédures permettant aux États membres de communiquer les informations requises à la Commission et au groupe de coopération européen en matière d’identité numérique institué en vertu de l’article 46 sexies, paragraphe 1, du règlement (UE) n°910/2014 (ci-après le «groupe de coopération»), et de les actualiser. Étant donné que les informations communiquées sont destinées à être utilisées par la Commission, le groupe de coopération et le grand public, les États membres devraient les communiquer au moins en anglais, car cela les rend plus accessibles et plus faciles à évaluer et à comprendre, tout en renforçant la coopération.
(4) Les informations sur les portefeuilles certifiés que les États membres devraient communiquer sont essentielles pour garantir la confiance, la transparence et l’harmonisation dans l’ensemble de l’écosystème des portefeuilles, en favorisant un climat de confiance pour les utilisateurs de portefeuille, les fournisseurs de portefeuille et les autorités de régulation. Parmi ces informations devrait figurer une description de la solution de portefeuille et du schéma d’identification électronique dans le cadre duquel la solution de portefeuille est fournie. Cette description devrait contenir des détails sur l’autorité ou les autorités responsables de la solution de portefeuille et du schéma d’identification électronique, le régime de contrôle applicable, le régime de responsabilité en ce qui concerne la partie fournissant la solution de portefeuille, les dispositions concernant la suspension ou la révocation du schéma d’identification électronique, de la solution de portefeuille fournie dans le cadre de ce schéma ou de toute partie compromise de ce schéma, ainsi que sur le certificat et le rapport d’évaluation de la certification concernant la fourniture et le fonctionnement des solutions de portefeuille et des schémas d’identification électronique dans le cadre desquels elles sont fournies. Les informations devraient être suffisantes pour permettre à la Commission d’établir, de publier au Journal officiel de l’Union européenneet de tenir à jour, sous une forme lisible par machine, une liste des portefeuilles certifiés. Le canal électronique sécurisé utilisé pour communiquer les informations relatives aux portefeuilles certifiés devrait éviter que les États membres ne fournissent les mêmes informations en double.
(5) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (4) et a rendu son avis le 31 janvier 2025.
(6) Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Objet
Le présent règlement établit les formats et les procédures applicables à la communication à la Commission et au groupe de coopération, par les États membres, d’informations pour la liste des portefeuilles certifiés, en application de l’article 5 quinquiesdu règlement (UE) n°910/2014, lesquels formats et procédures doivent être régulièrement actualisés pour tenir compte de l’évolution des technologies et des normes, ainsi que des travaux réalisés sur la base de la recommandation (UE) 2021/946 de la Commission (5), et en particulier de l’architecture et du cadre de référence.
Article 2
Définitions
Aux fins du présent règlement, on entend par:
1) «solution de portefeuille»: une combinaison de logiciels, de matériel, de services, de paramètres et de configurations, y compris des instances de portefeuille, une ou plusieurs applications cryptographiques sécurisées de portefeuille et un ou plusieurs dispositifs cryptographiques sécurisés de portefeuille;
2) «instance de portefeuille»: l’application installée et configurée sur l’appareil ou dans l’environnement d’un utilisateur de portefeuille, qui fait partie d’une unité de portefeuille et dont l’utilisateur de portefeuille se sert pour interagir avec l’unité de portefeuille;
3) «unité de portefeuille»: une configuration unique d’une solution de portefeuille comprenant des instances de portefeuille, des applications cryptographiques sécurisées de portefeuille et des dispositifs cryptographiques sécurisés de portefeuille, fournie par un fournisseur de portefeuille à un utilisateur de portefeuille donné;
4) «fournisseur de portefeuille»: une personne physique ou morale qui fournit des solutions de portefeuille;
5) «utilisateur de portefeuille»: un utilisateur qui contrôle l’unité de portefeuille;
6) «application cryptographique sécurisée de portefeuille»: une application qui gère des actifs critiques en étant liée aux fonctions cryptographiques et non cryptographiques fournies par le dispositif cryptographique sécurisé de portefeuille et en utilisant ces fonctions;
7) «dispositif cryptographique sécurisé de portefeuille»: un dispositif inviolable qui fournit un environnement lié à l’application cryptographique sécurisée de portefeuille et utilisé par celle-ci pour protéger les actifs critiques et fournir des fonctions cryptographiques pour l’exécution sécurisée d’opérations critiques;
8) «actifs critiques»: les actifs se trouvant à l’intérieur d’une unité de portefeuille ou en rapport avec celle-ci et dont l’importance est tellement exceptionnelle que la capacité de se fier à l’unité de portefeuille serait très sérieusement affaiblie si leur disponibilité, leur confidentialité ou leur intégrité étaient compromises;
9) «fournisseur de données d’identification personnelle»: une personne physique ou morale chargée de délivrer et de révoquer les données d’identification personnelle et de veiller à ce que les données d’identification personnelle d’un utilisateur soient liées de manière cryptographique à une unité de portefeuille.
Article 3
Format et procédure applicable aux informations à communiquer par les États membres à la Commission et informations à communiquer
1. Les États membres communiquent à la Commission et au groupe de coopération les informations visées à l’annexe par l’intermédiaire d’un canal électronique sécurisé mis à disposition par la Commission.
2. Les États membres communiquent les informations requises au paragraphe 1 au moins en anglais.
3. En cas de modification des informations communiquées, notamment des modifications apportées au statut de certification des portefeuilles, les États membres communiquent les informations actualisées par le canal visé au paragraphe 1.
Article 4
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 6 mai 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(5) Recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (JO L 210 du 14.6.2021, p. 51, ELI: http://data. europa.eu/eli/reco/2021/946/oj).
ANNEXE
Informations à communiquer par les États membres
1. Motif de la communication, à choisir parmi les motifs suivants:
- a) portefeuille fourni et certifié;
- b) modification apportée à toute information précédemment communiquée concernant un portefeuille;
- c) demande de suppression d’un portefeuille de la liste des portefeuilles fournis et certifiés.
- a) une description de la solution de portefeuille, y compris:
- le nom de la solution de portefeuille,
- l’identifiant de référence unique de la solution de portefeuille,
- le nom, éventuellement la raison sociale, l’adresse et, le cas échéant, des informations supplémentaires sur le fournisseur du portefeuille,
- une description de la gestion de la solution de portefeuille, y compris:
- les caractéristiques et la conception,
- la délivrance, la mise à disposition et l’activation,
- la suspension, la révocation et la réactivation,
- la récupération et la sauvegarde, le cas échéant,
- le renouvellement et le remplacement,
- les pratiques de gestion applicables aux journaux de transactions du portefeuille;
- b) une description du schéma d’identification électronique dans le cadre duquel la solution de portefeuille est fournie et certifiée, notamment:
- l’intitulé du schéma d’identification électronique,
- l’identifiant unique du schéma d’identification électronique,
- le nom de l’autorité ou des autorités responsables du schéma d’identification électronique,
- une description de la gestion et de l’organisation du système d’identification électronique,
- le nom, éventuellement la raison sociale, l’adresse et, le cas échéant, des informations supplémentaires sur le ou les fournisseurs de données d’identification personnelle,
- pour chaque fournisseur de données d’identification personnelle:
- le ou les ensembles de données d’identification personnelle fournis aux personnes physiques et morales dans le cadre du schéma d’identification électronique,
- une description du ou des ensembles de données d’identification personnelle dont l’État membre assure le caractère univoque,
- une description du régime de contrôle conformément à l’article 46 bisdu règlement (UE) n°910/2014 en ce qui concerne:
- les fournisseurs de données d’identification personnelle, y compris l’identification de l’organisme de contrôle,
- le fournisseur du portefeuille, y compris l’identification de l’organisme de contrôle,
- une description du régime de responsabilité conformément à l’article 5 bis, paragraphe 19, du règlement (UE) n°910/2014 en ce qui concerne:
- le ou les fournisseurs de données d’identification personnelle,
- le fournisseur du portefeuille,
- une description du processus d’inscription, notamment des descriptions:
- du processus de demande d’unités de portefeuille et de données d’identification personnelle,
- de l’enregistrement des utilisateurs de portefeuille,
- le cas échéant, de la validation et de la vérification d’identité des personnes physiques,
- le cas échéant, de la validation et de la vérification d’identité des personnes morales,
- de toute politique applicable à l’autorité ou aux autorités responsables du schéma d’identification électronique, y compris les modalités de suspension ou de révocation:
- des schémas d’identification électronique,
- des attestations d’unité de portefeuille délivrées par le fournisseur de portefeuille,
- de toute autre partie compromise des portefeuilles;
- c) le certificat et le rapport d’évaluation de la certification conformément à l’article 5 quaterdu règlement (UE) n°910/2014.