Règlement d’exécution (UE) 2025/1569 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les attestations électroniques d’attributs qualifiées et les attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte

Date de signature :29/07/2025 Statut du texte :En vigueur
Date de publication :30/07/2025 Emetteur :
Consolidée le : Source :JOUE Série L du 30 juillet 2025
Date d'entrée en vigueur :19/08/2025

Règlement d’exécution (UE) 2025/1569 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les attestations électroniques d’attributs qualifiées et les attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte

LA COMMISSION EUROPÉENNE,

considérant ce qui suit:

(1) Le règlement (UE) n°910/2014 a créé un cadre juridique pour la délivrance et la validation des attestations électroniques d’attributs, imposant notamment aux fournisseurs d’attestations électroniques d’attributs d’offrir aux utilisateurs de portefeuilles européens d’identité numérique (ci-après les «portefeuilles») la possibilité de demander, d’obtenir, de stocker et de gérer les attestations électroniques d’attributs, indépendamment de l’État membre dans lequel les portefeuilles sont fournis. Les attestations électroniques d’attributs sont des éléments essentiels pour la mise en place d’un écosystème des portefeuilles européens d’identité numérique (ci-après l’«écosystème des portefeuilles») sécurisé et interopérable. Elles permettent aux utilisateurs de partager des informations avec les parties utilisatrices de manière fiable dans divers cas d’utilisation.

(2) Les interfaces avec les portefeuilles européens d’identité numérique que doivent fournir les fournisseurs d’attestations électroniques d’attributs qualifiées conformément à l’article 45 octies du règlement (UE) n°910/2014 mettent en évidence l’importance que revêtent les attestations électroniques d’attributs pour l’écosystème des portefeuilles et facilitent leur adoption rapide.

(3) La Commission évalue régulièrement les nouvelles technologies, pratiques, normes et spécifications techniques. Afin d’atteindre le niveau d’harmonisation le plus élevé possible entre les États membres en ce qui concerne le développement et la certification des portefeuilles, les spécifications techniques énoncées dans le présent règlement s’appuient sur les travaux menés au titre de la recommandation (UE) 2021/946 de la Commission du 3 juin 2021 concernant une boîte à outils commune de l’Union pour une approche coordonnée en vue d’un cadre européen relatif à une identité numérique (2), et en particulier sur l’architecture et le cadre de référence qui sont une composante de cette boîte à outils. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (3), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement, afin de le maintenir en adéquation avec les évolutions générales, l’architecture et le cadre de référence et de suivre les meilleures pratiques sur le marché intérieur, notamment en ce qui concerne la délivrance d’attestations électroniques d’attributs et la vérification des attributs par rapport aux sources authentiques ou via des intermédiaires désignés.

(4) Lorsque les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte délivrent des attestations censées être conformes aux exigences des programmes d’attestation d’attributs enregistrés dans le catalogue, les règles et procédures visant à garantir le respect des exigences de ces programmes devraient faire partie de l’évaluation de la conformité prévue par le règlement (UE) n°910/2014.

(5) La protection contre les informations peu fiables revêt une grande importance pour la dématérialisation des attestations. Par conséquent, les attestations électroniques d’attributs qualifiées et les attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte devraient pouvoir être révoquées, ou d’autres mesures devraient être mises en oeuvre pour compenser les risques liés à l’impossibilité de les révoquer. Certaines circonstances devraient entraîner la révocation d’une attestation électronique d’attributs par le fournisseur, par exemple lorsque la personne à qui l’attestation électronique d’attributs a été délivrée en fait la demande explicite, lorsque le fournisseur sait que la sécurité ou la fiabilité des attestations électroniques d’attributs qualifiées a été compromise, ou lorsque le droit de l’Union ou le droit national l’exige. Afin de protéger les droits fondamentaux de l’utilisateur au respect de la vie privée et à la protection des données, notamment en réduisant de manière appropriée les risques liés à l’associabilité et à la traçabilité, les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte devraient mettre en place des règles de gestion des révocations respectueuses de la vie privée.

(6) Pour faciliter la coopération entre les États membres et la création d’un écosystème d’identité numérique sécurisé et interopérable, y compris la reconnaissance transfrontière et l’interopérabilité des attestations électroniques d’attributs qualifiées et des attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte, il est nécessaire de mettre en place des procédures de communication administrative simplifiées entre les parties prenantes concernées comprenant notamment la publication d’informations permettant d’identifier rapidement les organismes du secteur public pertinents. Les États membres devraient notifier les attributs concernés à la Commission. Pour que la vérification de ces attributs puisse se faire sans délai, de manière efficace et interopérable, les notifications pertinentes adressées à la Commission devraient être au moins en anglais, car cela les rend plus accessibles et plus faciles à évaluer et à comprendre, tout en renforçant la coopération entre les parties prenantes concernées. Il convient toutefois que la traduction des documents préexistants n’entraîne pas de charges administratives ou financières déraisonnables.

(7) Pour permettre aux utilisateurs et aux prestataires de services de vérifier que les attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte ont bien été délivrées par l’organisme du secteur public en question ou pour son compte, les États membres devraient notifier à la Commission la liste de ces organismes du secteur public. Lorsqu’ils notifient la liste des organismes du secteur public qui délivrent des attestations électroniques d’attributs conformément à l’article 45 septies et à l’annexe VII du règlement (UE) n°910/2014, les États membres doivent fournir un rapport d’évaluation de la conformité confirmant que ces organismes présentent un niveau de fiabilité équivalent à celui des prestataires de services de confiance qualifiés. Toutefois, dans le cas des organismes du secteur public, contrairement aux prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées, ce sont les États membres qui décident comment ils garantissent que les prestataires satisfont aux exigences au fil du temps. Pour que la confiance dans les attestations délivrées par des organismes du secteur public se maintienne à un niveau élevé dans l’ensemble de l’Union, les États membres sont encouragés à partager leurs bonnes pratiques en matière de garantie permanente de la fiabilité par l’intermédiaire du groupe de coopération européen en matière d’identité numérique (ci-après le «groupe de coopération») établi en vertu de l’article 46 sexies, paragraphe 1, du règlement (UE) n°910/2014. La Commission devrait établir, tenir à jour et publier une liste des prestataires et faire en sorte que cette liste soit facilement accessible au public.

(8) La Commission, avec l’aide du groupe de coopération, devrait établir un catalogue d’attributs afin de faciliter la vérification des attributs par rapport aux sources authentiques par les prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées. L’enregistrement des attributs énumérés à l’annexe VI du règlement (UE) n°910/2014 dans le catalogue d’attributs devrait être obligatoire. Pour les autres attributs, l’enregistrement serait facultatif.

(9) La Commission, avec l’aide du groupe de coopération, devrait établir un catalogue de programmes d’attestation d’attributs afin de faciliter la délivrance des attestations par les prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées et par les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte, ainsi que pour contribuer à l’harmonisation et à l’interopérabilité transfrontière de ces attestations. L’enregistrement des programmes dans le catalogue de programmes devrait être facultatif. Les demandes d’enregistrement ou de modification d’attributs dans le catalogue devraient être introduites par le propriétaire du programme d’attestation d’attributs et peuvent inclure des attributs qui ne figurent pas dans le catalogue d’attributs. La Commission devrait évaluer ces demandes en tenant compte des besoins en matière d’interopérabilité et d’harmonisation.

(10) Afin de faire en sorte que le catalogue d’attributs contienne des informations utiles et atteigne un niveau élevé d’interopérabilité au sein de l’écosystème des attestations électroniques d’attributs, il devrait fournir un ensemble minimal d’informations, telles qu’une description sémantique de l’attribut, l’espace de nom auquel appartient son identifiant et le type de données de l’attribut. À cette même fin, le catalogue de programmes d’attestation d’attributs devrait contenir des descriptions des types fréquents d’attestations électroniques d’attributs ainsi qu’une description du modèle de confiance et des mécanismes de gouvernance appliqués dans le cadre du programme d’attestation. Les informations figurant dans les catalogues devraient comprendre la version des attributs et des programmes afin que les attestations délivrées pour des versions précises ne soient pas affectées par des modifications apportées à ces attributs et programmes.

(11) Pour garantir l’efficacité de la vérification des attributs par rapport aux sources authentiques par les prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées, y compris via des intermédiaires désignés qui fournissent des mécanismes de vérification indirecte aux prestataires de services, les États membres devraient mettre en place, dans le délai fixé à l’article 45 sexies, paragraphe 1, du règlement (UE) n°910/2014, des mécanismes permettant aux prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées de demander la vérification des attributs. Ces mécanismes devraient permettre aux prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées de déterminer quels attributs peuvent être vérifiés et de quelle manière il convient de le faire. Ces mécanismes devraient inclure des précisions sur les points d’accès et les protocoles de service permettant de vérifier la validité et l’exactitude des attributs. Il convient également d’envisager la possibilité de proposer un point de vérification unique au niveau national.

(12) Plus précisément, les États membres devraient mettre à la disposition des prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées les mécanismes permettant d’accéder aux points de vérification au niveau national pour chacun des attributs énumérés à l’annexe VI du règlement (UE) n°910/2014 et de les utiliser. Ces mécanismes devraient permettre aux prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées de présenter, à la demande de l’utilisateur, des attributs spécifiques à un point de vérification en vue de la délivrance de l’attestation et pendant la durée de vie de celle-ci. Les mécanismes de vérification devraient faire appel à des moyens électroniques adaptés au traitement automatique et permettant d’obtenir une réponse du point de vérification le plus rapidement possible. Cette réponse devrait permettre de confirmer si les attributs présentés par les prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées correspondent aux attributs stockés dans la source authentique concernée pour cet utilisateur et indiquer la source authentique utilisée pour la vérification. Pour éviter les abus, tels que les demandes de vérification illicites ou manifestement excessives, les États membres peuvent, lorsqu’ils le jugent approprié, imposer des mécanismes de contrôle de l’utilisation des points de vérification, en tenant compte de facteurs pertinents, par exemple du fait que les sources authentiques contiennent des informations qui devraient être considérées comme des données à caractère personnel ou qui sont de nature confidentielle ou sensible en vertu du droit de l’Union ou du droit national.

(13) Conformément aux principes énoncés par le règlement pour une Europe interopérable(4), afin de faciliter l’établissement du catalogue d’attributs et du catalogue de programmes d’attestation d’attributs ainsi que la réutilisation, dans la mesure du possible, des informations, catalogues et programmes existants, la Commission devrait, lorsqu’il y a lieu, exploiter les synergies avec les services communs du système technique institué par le règlement (UE) 2018/1724 du Parlement européen et du Conseil établissant un portail numérique unique et modifiant le règlement (UE) n°1024/2012 (5).

(14) Afin d’améliorer l’interopérabilité des attestations électroniques d’attributs délivrées par des prestataires de services de confiance non qualifiés, les entités délivrant les attestations peuvent suivre les principes et exigences applicables aux attestations électroniques d’attributs non qualifiées définis dans le présent règlement.

(15) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (6) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (7) s’appliquent aux activités de traitement de données à caractère personnel au titre du présent règlement.

(16) Afin d’accorder à la Commission et aux États membres suffisamment de temps pour dresser la liste des fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte, les exigences du présent règlement concernant le catalogue d’attributs, le catalogue de programmes d’attestation d’attributs et les points de vérification des attributs devraient devenir applicables 12 mois après la date d’entrée en vigueur du présent règlement.

(17) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (8) et a rendu son avis le 31 janvier 2025.

(18) Les mesures prévues par le présent règlement sont conformes à l’avis du comité institué par l’article 48 du règlement (UE) n°910/2014,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier
Objet et champ d’application

Le présent règlement établit les normes de référence, spécifications et procédures qui s’appliquent aux éléments ci-dessous et doivent être mises à jour régulièrement pour tenir compte de l’évolution des technologies et des normes ainsi que des travaux réalisés sur la base de la recommandation (UE) 2021/946, dont l’architecture et le cadre de référence:

1) aux attestations électroniques d’attributs qualifiées;

2) aux attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte;

3) à la liste des fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte;

4) au catalogue d’attributs et au catalogue de programmes d’attestation d’attributs visés aux points 1) et 2);

5) à la vérification des attributs par rapport aux sources authentiques ou via des intermédiaires désignés.

Article 2
Définitions

Aux fins du présent règlement, on entend par:

1) «unité de portefeuille», une configuration unique d’une solution de portefeuille comprenant des instances de portefeuille, des applications cryptographiques sécurisées de portefeuille et des dispositifs cryptographiques sécurisés de portefeuille, fournie par un fournisseur de portefeuille à un utilisateur de portefeuille donné;

2) «utilisateur de portefeuille», un utilisateur qui contrôle l’unité de portefeuille;

3) «catalogue d’attributs», un répertoire numérique d’attributs qui est tenu à jour et publié en ligne par la Commission;

4) «programme d’attestation d’attributs», un ensemble de règles applicables à un ou plusieurs types d’attestations électroniques d’attributs;

5) «type d’attestation électronique d’attributs», un groupe d’attestations électroniques d’attributs auquel sont attribués un nom spécifique et une description sémantique;

6) «catalogue de programmes d’attestation d’attributs», un répertoire numérique qui contient la liste des programmes d’attestation d’attributs enregistrés conformément au présent règlement et qui est tenu à jour [et publié en ligne] par la Commission;

7) «solution de portefeuille», une combinaison de logiciels, de matériel, de services, de paramètres et de configurations, y compris des instances de portefeuille, une ou plusieurs applications cryptographiques sécurisées de portefeuille et un ou plusieurs dispositifs cryptographiques sécurisés de portefeuille;

8) «instance de portefeuille», l’application installée et configurée sur l’appareil ou dans l’environnement d’un utilisateur de portefeuille, qui fait partie d’une unité de portefeuille et dont l’utilisateur de portefeuille se
sert pour interagir avec l’unité de portefeuille;

9) «application cryptographique sécurisée de portefeuille», une application qui gère des actifs critiques en étant liée aux fonctions cryptographiques et non cryptographiques fournies par le dispositif cryptographique sécurisé de portefeuille et en utilisant ces fonctions;

10) «dispositif cryptographique sécurisé de portefeuille», un dispositif inviolable qui fournit un environnement lié à l’application cryptographique sécurisée de portefeuille et utilisé par celle-ci pour protéger les actifs critiques et fournir des fonctions cryptographiques pour l’exécution sécurisée d’opérations critiques;

11) «fournisseur de portefeuille», une personne physique ou morale qui fournit des solutions de portefeuille;

12) «actifs critiques», les actifs se trouvant à l’intérieur d’une unité de portefeuille ou en rapport avec celle-ci et dont l’importance est tellement exceptionnelle que la capacité de se fier à l’unité de portefeuille serait très sérieusement affaiblie si leur disponibilité, leur confidentialité ou leur intégrité étaient compromises;

13) «propriétaire d’un programme d’attestation d’attributs», une entité chargée de mettre en place et de tenir à jour un programme d’attestation d’attributs.

Article 3
Délivrance des attestations électroniques d’attributs qualifiées et des attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte

1. Les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte respectent les normes de références et spécifications énumérées à l’annexe I et veillent à ce que les attestations électroniques d’attributs qu’ils délivrent soient conformes aux spécifications techniques énoncées à l’annexe II.

2. Lorsque les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte délivrent des attestations électroniques d’attributs qui sont couvertes par des programmes enregistrés dans le catalogue de programmes d’attestation d’attributs, ils se conforment aux exigences du programme d’attestation d’attributs correspondant. Les règles et procédures établies par les entités délivrant des attestations pour assurer la conformité avec les exigences des programmes d’attestation d’attributs sont prises en compte dans l’évaluation de la conformité prévue par le règlement (UE) n°910/2014.

Article 4
Révocation des attestations électroniques d’attributs qualifiées et des attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte

1. Les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte disposent de règles écrites et accessibles au public concernant la gestion du statut de validité ou de révocation. Ces règles devraient inclure, le cas échéant, les conditions dans lesquelles les attestations électroniques d’attributs peuvent être révoquées sans délai et les mesures permettant d’assurer la disponibilité des informations relatives au statut de validité.

2. Les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte sont les seules entités capables de révoquer les attestations électroniques d’attributs qu’ils délivrent.

3. Lorsque la période de validité des attestations fournies par les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte est supérieure à 24 heures, les fournisseurs de ces attestations les révoquent au moins dans les cas suivants:

4. Les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte mettent en place des techniques de révocation et des méthodes de gestion des révocations qui garantissent la protection de la vie privée et empêchent l’associabilité et la traçabilité.

5. Les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte mettent à la disposition des parties utilisatrices des informations sur le statut de validité ou de révocation des attestations électroniques d’attributs qu’ils ont délivrées d’une manière qui garantit l’intégrité et l’authenticité de ces informations.

Article 5
Notification des organismes du secteur public

1. Les États membres transmettent au moins les informations mentionnées à l’annexe III concernant les organismes du secteur public visés à l’article 45 septies, paragraphe 3, du règlement (UE) n°910/2014 au moyen d’un système de notification électronique sécurisé fourni par la Commission.

2. Les États membres notifient toute modification apportée aux informations transmises.

3. Les États membres transmettent les notifications au moins en anglais. Ils ne sont pas tenus de faire traduire les documents à l’appui des notifications si cela engendre une charge administrative ou financière déraisonnable.

4. La Commission peut, au besoin, demander aux États membres de fournir des informations complémentaires.

Article 6
Publication de la liste des organismes du secteur public

1. La Commission établit, tient à jour et publie une liste des fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte à partir des informations notifiées par les États membres au titre de l’article 5.

2. La Commission veille à ce que la liste visée au paragraphe 1 soit accessible:

3. La Commission publie, par l’intermédiaire d’un canal sécurisé et sans retard injustifié:

Article 7
Création et mise à jour du catalogue d’attributs

1. La Commission établit et publie un catalogue d’attributs et met en place un système sécurisé permettant de demander l’inclusion ou la modification d’attributs dans ce catalogue.

2. La Commission évalue les demandes d’inclusion ou de modification d’un attribut dans le catalogue d’attributs faites au moyen du système visé au paragraphe 1 en tenant compte de tout éventuel avis donné par le groupe de coopération. Dans le cadre de cette évaluation, la Commission examine si l’inclusion de l’attribut contribue à former une base commune permettant des interactions électroniques sécurisées et respectueuses de la vie privée entre les citoyens, les entreprises et les pouvoirs publics et s’il contribue à l’interopérabilité. Le cas échéant, la Commission tient également compte de la réglementation sectorielle.

3. Les États membres demandent que des attributs énumérés à l’annexe VI du règlement (UE) n°910/2014 soient inclus dans le catalogue d’attributs lorsque la vérification de ces attributs par des prestataires de services de confiance qualifiés repose sur des sources authentiques.

4. En outre, les États membres peuvent demander l’inclusion d’attributs qui ne sont pas énumérés à l’annexe VI dans le catalogue d’attributs lorsque ces attributs reposent sur des sources authentiques du secteur public. Les entités privées qui sont considérées comme étant une source première d’informations ou reconnues comme authentiques conformément au droit de l’Union ou au droit national, y compris les pratiques administratives, peuvent demander l’inclusion d’attributs qui ne sont pas énumérés à l’annexe VI dans le catalogue d’attributs, à condition que l’entité à l’origine de la demande soit responsable de ces attributs.

5. La demande d’inclusion ou de modification d’un attribut dans le catalogue contient au moins les informations suivantes:

6. La demande d’inclusion ou de modification d’un attribut est signée ou cachetée par le demandeur au moyen d’une signature électronique qualifiée ou d’un cachet électronique qualifié, ou d’une signature électronique avancée ou d’un cachet électronique avancé reposant sur un certificat qualifié.

7. Après avoir effectué l’évaluation visée au paragraphe 2 et vérifié que les informations fournies dans la demande d’inclusion ou de modification d’un attribut comprennent tous les éléments énumérés au paragraphe 5, la Commission peut inclure ou modifier l’attribut faisant l’objet de la demande dans le catalogue d’attributs.

8. Le catalogue d’attributs, portant le cachet de la Commission, est accessible au public gratuitement, par l’intermédiaire d’un canal sécurisé, sans identification ou authentification préalables, et publié sous une forme lisible à la fois par la machine et par l’être humain. Le catalogue intègre également une fonction de recherche.

9. La Commission publie les spécifications techniques qu’elle utilise pour le catalogue d’attributs.

10. La Commission émet un identifiant unique pour chaque attribut enregistré.

Article 8
Création et mise à jour du catalogue de programmes d’attestation d’attributs

1. La Commission établit et publie un catalogue de programmes d’attestation d’attributs et met en place un système sécurisé permettant de demander l’inclusion ou la modification de programmes d’attestation d’attributs dans ce catalogue.

2. La Commission évalue les demandes d’inclusion ou de modification de programmes d’attestation d’attributs dans le catalogue de programmes d’attestation d’attributs en tenant compte de tout éventuel avis donné par le groupe de coopération. Dans le cadre de cette évaluation, la Commission examine si le programme contribue à former une base commune favorisant des interactions électroniques sécurisées et respectueuses de la vie privée entre les citoyens, les entreprises et les pouvoirs publics et si elle contribue à l’interopérabilité. Le cas échéant, la Commission tient également compte de la réglementation sectorielle.

3. Les propriétaires d’un programme d’attestation d’attributs peuvent demander l’ajout de programmes au catalogue de programmes. Une demande d’inclusion ou de modification d’un programme dans le catalogue de programmes d’attestation d’attributs contient au moins:

4. Les programmes qui font l’objet d’une demande d’inclusion dans le catalogue ne contiennent que des attributs identifiables au moyen d’identifiants uniques. La demande d’inclusion ou de modification d’un programme d’attestation d’attributs est signée ou cachetée par le demandeur au moyen d’une signature électronique qualifiée ou d’un cachet électronique qualifié, ou d’une signature électronique avancée ou d’un cachet électronique avancé reposant sur un certificat qualifié.

5. Après avoir effectué l’évaluation visée au paragraphe 2 et vérifié que les informations fournies dans la demande d’inclusion ou de modification d’un programme d’attestation d’attributs comprennent tous les éléments énumérés aux paragraphes 3 et 4, la Commission peut inclure ou modifier le programme faisant l’objet de la demande dans le catalogue de programmes d’attestation d’attributs.

6. Le catalogue de programmes d’attestation d’attributs, portant le cachet de la Commission, est accessible au public gratuitement, par l’intermédiaire d’un canal sécurisé, sans identification ou authentification préalables, et est lisible par la machine et par l’être humain. Le catalogue intègre également une fonction de recherche et se présente dans un format qui garantit l’intégrité et l’authenticité.

7. La Commission publie les spécifications techniques qu’elle utilise pour le catalogue de programmes d’attestation d’attributs.

8. La Commission émet un identifiant unique pour chaque programme d’attestation d’attributs enregistré.

Article 9
Vérification des attributs par rapport aux sources authentiques ou via des intermédiaires désignés

1. Pour permettre la vérification électronique des attributs à la demande de l’utilisateur, telle que prévue à l’article 45 sexies, paragraphe 1, du règlement (UE) n°910/2014, par des prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées, les États membres mettent en place des mécanismes permettant cette vérification et peuvent mettre à disposition des points de vérification uniques pour les attributs énumérés à l’annexe VI dudit règlement lorsque ces attributs reposent sur des sources authentiques du secteur public. Les États membres publient des informations relatives aux procédures d’ouverture des demandes de vérification et de réception des résultats de la vérification.

2. Le mécanisme de vérification fournit un point d’accès permettant aux prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées de demander, par voie électronique, la vérification des attributs visés à l’article 45 sexies, paragraphe 1, du règlement (UE) n°910/2014 par rapport aux sources authentiques ou via des intermédiaires désignés reconnus au niveau national. Les attributs faisant l’objet de la vérification seront fournis au point de vérification par le prestataire de services de confiance qualifié à la demande de l’utilisateur. L’organisme du secteur public ou l’intermédiaire désigné communique, par l’intermédiaire du point de vérification, les résultats de la vérification aux prestataires de services de confiance qualifiés délivrant des attestations électroniques d’attributs qualifiées.

3. La demande de vérification contient les attributs et les données d’identification de la personne à laquelle se rapporte l’attribut dont le prestataire de services de confiance qualifié demande la vérification.

4. Le résultat de la vérification indique uniquement si l’attribut a été vérifié ou non et précise l’organisme du secteur public responsable de la source authentique ou, le cas échéant, l’organisme du secteur public désigné pour agir pour le compte de la source authentique ayant servi à la vérification de l’attribut.

5. Les États membres peuvent imposer des contrôles d’accès ou d’autres mécanismes de vérification qui garantissent l’intégrité, l’authenticité et la confidentialité afin d’établir que le demandeur est un prestataire de services de confiance qualifié et qu’il agit à la demande d’un utilisateur légitime. Les États membres peuvent également imposer des mécanismes de contrôle de l’utilisation des méthodes de vérification, lorsqu’ils le jugent approprié, en tenant compte de facteurs pertinents, par exemple du fait que les sources authentiques contiennent des données à caractère personnel de nature confidentielle ou sensible. Lorsque les États membres mettent en place de tels mécanismes de contrôle, ils publient des informations relatives à l’étendue de ces mécanismes dans le cadre des informations visées au paragraphe 1.

Article 10
Interopérabilité et réutilisation

1. Aux fins des articles 3 à 9, les États membres peuvent se référer aux services communs du système technique établi en vertu de l’article 14 du règlement (UE) 2018/1724 ainsi qu’aux composantes nationales qui y sont connectées, et les réutiliser.

2. Lorsqu’elle établit le système de notification sécurisé et la liste des organismes du secteur public visés aux articles 5 et 6 ainsi que les catalogues visés aux articles 7 et 8 du présent règlement, la Commission européenne se réfère aux services communs du système technique prévu par le règlement (UE) 2018/1724 et les réutilise, le cas échéant.

Article 11
Entrée en vigueur et application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Les articles 6 à 9 sont applicables à partir du 19 août 2026.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 29 juillet 2025.

Par la Commission
La présidente
Ursula VON DER LEYEN
                
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) JO L 210 du 14.6.2021, p. 51, ELI: http://data.europa.eu/eli/reco/2021/946/oj.
(3) Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/ eli/reg/2024/1183/oj).
(4) Règlement (UE) 2024/903 du Parlement européen et du Conseil du 13 mars 2024 établissant des mesures destinées à assurer un niveau élevé d’interopérabilité du secteur public dans l’ensemble de l’Union (règlement pour une Europe interopérable) (JO L, 2024/903, 22.3.2024, ELI: http://data.europa.eu/eli/reg/2024/903/oj).
(5) Règlement (UE) 2018/1724 du Parlement européen et du Conseil du 2 octobre 2018 établissant un portail numérique unique pour donner accès à des informations, à des procédures et à des services d’assistance et de résolution de problèmes, et modifiant le règlement (UE) n°1024/2012 (JO L 295 du 21.11.2018, p. 1, ELI: http://data.europa.eu/eli/reg/2018/1724/oj).
(6) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(7) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(8) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).

ANNEXE I
Liste des normes de référence et des spécifications mentionnées à l’article 3

Les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte délivrent leurs attestations à des personnes physiques ou morales conformément aux spécifications applicables aux prestataires de services de confiance définies dans la norme ETSI EN 319 401 v3.1.1 (2024-06) («ETSI EN 319 401»).

ANNEXE II
Spécifications techniques relatives à la délivrance des attestations électroniques d’attributs qualifiées et des attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte mentionnées à l’article 3

1) Les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte délivrent leurs attestations dans un format conforme à l’une des normes énumérées à l’annexe II du règlement d’exécution (UE) 2024/2979 de la Commission (1).

2) Lorsqu’ils délivrent des attestations à des personnes physiques ou morales, les fournisseurs d’attestations électroniques d’attributs qualifiées et les fournisseurs d’attestations électroniques d’attributs délivrées par un organisme du secteur public responsable d’une source authentique ou pour son compte doivent:

3) En outre, lorsque l’attestation est délivrée à un portefeuille européen d’identité numérique, le fournisseur de l’attestation doit:

           
(1) Règlement d’exécution (UE) 2024/2979 de la Commission du 28 novembre 2024 portant modalités d’application du règlement (UE) n°910/2014 du Parlement européen et du Conseil en ce qui concerne l’intégrité et les fonctionnalités essentielles des portefeuilles européens d’identité numérique (JO L, 2024/2979, 4.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/2979/oj).

ANNEXE III
Notifications visées à l’article 5

Les États membres notifient à la Commission au moins les informations suivantes:

1) le nom de l’organisme du secteur public et, le cas échéant, son numéro d’immatriculation tels qu’ils figurent dans les registres officiels; l’État membre dans lequel l’organisme du secteur public est établi; la disposition du droit de l’Union ou du droit national en vertu de laquelle l’organisme du secteur public est établi comme étant le responsable de la source authentique sur la base de laquelle l’attestation électronique d’attributs est délivrée ou est désigné pour agir pour le compte de l’organisme du secteur public responsable de la source authentique;

2) l’adresse électronique et le numéro de téléphone de l’organisme du secteur public;

3) l’adresse URL de la page web contenant des informations supplémentaires sur l’organisme du secteur public;

4) le rapport d’évaluation de la conformité prévu à l’article 45 septies, paragraphe 3, du règlement (UE) n°910/2014.