5.3. Sécurité informatique et de l'information
Règlement d’exécution (UE) 2025/1570 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne la notification des informations relatives aux dispositifs de création de signature électronique qualifiés certifiés et aux dispositifs de création de cachet électronique qualifiés certifiés
| Date de signature : | 29/07/2025 | Statut du texte : | En vigueur |
| Date de publication : | 30/07/2025 | Emetteur : | |
| Consolidée le : | 19/08/2025 | Source : | JOUE Série L du 30 juillet 2025 et rectificatif publié au JOUE Série L du 20 août 2025 |
| Date d'entrée en vigueur : | 19/08/2025 |
Règlement d’exécution (UE) 2025/1570 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne la notification des informations relatives aux dispositifs de création de signature électronique qualifiés certifiés et aux dispositifs de création de cachet électronique qualifiés certifiés
Version consolidée au 19 août 2025
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 31, paragraphe 3, et son article 39, paragraphe 3,
considérant ce qui suit:
(1) Afin d’établir une source d’information transparente et fiable sur les dispositifs de création de signature électronique qualifiés et sur les dispositifs de création de cachet électronique qualifiés qui ont été certifiés, ou qui ne le sont plus, par les organismes de certification visés à l’article 30, paragraphe 1, du règlement (UE) n°910/2014, les États membres doivent notifier les informations pertinentes à la Commission, au moyen d’un canal électronique sécurisé mis à disposition par la Commission.
(2) Afin de laisser suffisamment de temps à la Commission pour adapter le canal existant pour les notifications d’informations en ce qui concerne le statut de certification des dispositifs de création de signature électronique qualifiés et des dispositifs de création de cachet électronique qualifiés, le présent règlement devrait s’appliquer à partir de 3 mois à compter de son entrée en vigueur.
(3) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (2) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (3) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.
(4) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (4) et a rendu son avis le 6 juin 2025.
(5) Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
1. La notification visée à l’article 31, paragraphe 1, du règlement (UE) n°910/2014 contient au moins les informations visées à l’annexe du présent règlement et est effectuée sous forme électronique par l’intermédiaire d’un canal électronique sécurisé mis à disposition par la Commission.
2. En cas de modification des informations communiquées après la soumission initiale, y compris des modifications du statut de certification des dispositifs de création de signature électronique qualifiés et des dispositifs de création de cachet électronique qualifiés, les États membres transmettent les informations mises à jour avec les documents d’accompagnement pertinents par le canal visé au paragraphe 1.
Article 2
Modifié par le rectificatif publié au JOUE Série L du 20 août 2025
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 19 novembre 2025.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 29 juillet 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
ANNEXE
Informations à communiquer par les États membres conformément à l’article 31, paragraphe 1
1.L’identification du dispositif de création de signature électronique qualifié ou du dispositif de création de cachet électronique qualifié, tel que couvert par la notification de la certification ou de l’annulation de la certification et précisé au moyen des éléments suivants:
- a) la dénomination du produit;
- b) la référence au composant logiciel configuré, y compris la version pertinente;
- c) la référence au composant matériel configuré, y compris la version pertinente;
- d) la version;
2. L’identité de l’organisme qui a demandé la certification;
3. La description du dispositif de création de signature électronique qualifié ou du dispositif de création de cachet électronique qualifié, y compris:
- a) s’il s’agit d’un dispositif de création de signature électronique qualifié et/ou d’un dispositif de création de cachet électronique qualifié;
- b) à laquelle des catégories suivantes appartient le dispositif:
- dispositifs dans lesquels les données de création de signature électronique ou les données de création de cachet électronique sont conservées dans un environnement entièrement (mais pas nécessairement exclusivement) géré par l’utilisateur,
- dispositifs dans lesquels un prestataire de services de confiance qualifié gère les données de création de signature électronique ou les données de création de cachet électronique pour le compte d’un signataire ou d’un créateur de cachet;
4. Le certificat de conformité du dispositif aux exigences de l’annexe II du règlement (UE) n°910/2014;
5. Une référence au rapport de certification délivré conformément à l’article 30 du règlement (UE) n°910/2014, qui ne doit pas changer au moins pendant la période de validité du certificat de conformité;
6. L’identité de l’entité de délivrance du rapport de certification, y compris une référence appropriée à sa qualification en tant qu’organisme de certification désigné par un État membre conformément à l’article 30, paragraphe 1, du règlement (UE) n°910/2014 et en tant qu’organisme conforme pour la certification de ces dispositifs conformément à l’article 30, paragraphe 3, dudit règlement;
7. Un localisateur uniforme de ressources (URL) d’une localisation à partir de laquelle le rapport de certification est accessible gratuitement au public;
8. La date effective de début de la certification;
9. Le statut de la certification;
10. La date d’expiration de la certification;
11. S’il est prévu de ne pas poursuivre la certification après la certification actuelle pour la configuration actuelle des dispositifs de création de signature électronique qualifiés ou des dispositifs de création de cachet électronique qualifiés;
12. Les coordonnées de l’organisme désigné;
13. Si la méthode de certification est conforme ou non à l’article 30, paragraphe 3, premier alinéa, point a) ou b), du règlement (UE) n°910/2014 et, le cas échéant, la référence et l’URL des autres procédures qui ont été notifiées à la Commission conformément à l’article 30, paragraphe 3, premier alinéa, point b), dudit règlement;
14. Tous les rapports de certification connexes établis conformément aux actes d’exécution adoptés en vertu de l’article 30, paragraphe 3, deuxième alinéa, du règlement (UE) n°910/2014, y compris:
- a) une référence à chaque rapport de certification;
- b) l’identification de l’entité de délivrance de chaque rapport de certification;
- c) une URL vers une localisation à partir de laquelle chaque rapport de certification est accessible gratuitement au public;
- d) la date de délivrance de chaque rapport de certification;
- e) lorsqu’elle est accessible au public, une version de la cible de sécurité correspondante décrivant le dispositif, ou tout composant de celui-ci, faisant l’objet de l’évaluation de la certification couverte par le rapport de certification.