5.3. Sécurité informatique et de l'information
Règlement d’exécution (UE) 2025/1571 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les formats et procédures applicables aux rapports annuels des organes de contrôle
| Date de signature : | 29/07/2025 | Statut du texte : | En vigueur |
| Date de publication : | 30/07/2025 | Emetteur : | |
| Consolidée le : | Source : | JOUE Série L du 30 juillet 2025 | |
| Date d'entrée en vigueur : | 19/08/2025 |
Règlement d’exécution (UE) 2025/1571 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les formats et procédures applicables aux rapports annuels des organes de contrôle
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 46 bis, paragraphe 7, et son article 46 ter, paragraphe 7,
considérant ce qui suit:
(1) Les organes de contrôle des portefeuilles européens d’identité numérique désignés en vertu de l’article 46 bis, paragraphe 1, du règlement (UE) n°910/2014 et les organes de contrôle des services de confiance désignés en vertu de l’article 46 ter, paragraphe 1, dudit règlement (ci-après les «organes de contrôle») doivent fournir à la Commission des informations pertinentes sur leurs activités de contrôle conformément à l’article 46 bis, paragraphe 6, et à l’article 46 ter, paragraphe 6, dudit règlement.
(2) Afin de mettre en place une source d’informations transparente et fiable concernant les activités de contrôle des organes de contrôle, de veiller à ce que les échanges de données avec la Commission soient sûrs et vérifiables et de réduire la complexité administrative, les organes de contrôle devraient soumettre les rapports annuels dans un format spécifié, lisible par machine et adapté au traitement automatisé.
(3) Pour faciliter l’échange de bonnes pratiques entre les organes de contrôle et garantir la cohérence et l’efficacité des contrôles dans tous les États membres, il est essentiel que les rapports annuels des organes de contrôle contiennent des informations complètes et pertinentes. En particulier, les organes de contrôle devraient rendre compte de celles de leurs activités qui comportent des éléments susceptibles de renforcer la coopération, y compris, entre autres, donner des précisions sur les activités de contrôle menées et envisagées, les difficultés recensées, les inspections, les notifications d’atteinte à la sécurité importante ou de perte d’intégrité adressées par l’organe de contrôle aux autorités compétentes de l’État membre concerné en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil (2), et l’assistance entre les organes de contrôle conformément aux articles 46 quater et 46 quinquies du règlement (UE) n°910/2014. En outre, étant donné que ces informations figurant dans les rapports annuels doivent être mises à la disposition du Parlement européen et du Conseil conformément aux articles 46 bis, paragraphe 6, et 46 ter, paragraphe 6, du règlement (UE) n°910/2014, les informations à fournir répondraient à l’objectif de transparence et d’accessibilité de l’information. Par conséquent, tous les organes de contrôle devraient communiquer les informations visées aux annexes I et II du présent règlement.
(4) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (3) ainsi que, le cas échéant, le règlement (UE) 2018/1725 du Parlement européen et du Conseil (4) et la directive 2002/58/CE du Parlement européen et du Conseil (5) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.
(5) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 et a rendu son avis le 28 mai 2025.
(6) Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Format et procédures des rapports annuels
1. Les organes de contrôle soumettent à la Commission leurs rapports annuels visés à l’article 46 bis, paragraphe 6, et à l’article 46 ter, paragraphe 6, du règlement (UE) n°910/2014, par l’intermédiaire d’un canal électronique sécurisé mis à disposition par la Commission.
2. Les organes de contrôle ne transmettent les informations dans leurs rapports annuels qu’une seule fois, en réutilisant, le cas échéant, les informations précédemment communiquées.
3. Les organes de contrôle des portefeuilles européens d’identité numérique visés à l’article 46 bis, paragraphe 1, du règlement (UE) n°910/2014 veillent à ce que leurs rapports annuels contiennent au moins les informations visées à l’annexe I du présent règlement.
4. Les organes de contrôle des services de confiance visés à l’article 46 ter, paragraphe 1, du règlement (UE) n°910/2014 veillent à ce que leurs rapports annuels contiennent au moins les informations visées à l’annexe II du présent règlement.
Article 2
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 29 juillet 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa. eu/eli/dir/2022/2555/oj).
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(5) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
ANNEXE I
Informations à inclure dans les rapports annuels des organes de contrôle des portefeuilles européens d’identité numérique
Les rapports annuels des organes de contrôle des portefeuilles européens d’identité numérique contiennent au moins les informations suivantes:
1) le nom, l’adresse et les coordonnées de l’organe de contrôle qui soumet le rapport annuel;
2) lorsque plusieurs organes de contrôle ont été désignés conformément à l’article 46 bis, paragraphe 1, du règlement (UE) n°910/2014, le champ d’application des activités de contrôle de l’organe de contrôle qui soumet le rapport annuel;
3) une description de l’organisation, de la structure, des ressources et des capacités de l’organe de contrôle;
4) une description des activités de contrôle ex post et ex ante menées pour chaque fournisseur de portefeuille au cours de l’année civile précédente conformément à l’article 46 bis, paragraphe 3, point a), y compris les cas d’infractions présumées ou potentielles au règlement (UE) n°910/2014 et un résumé des principaux défis recensés;
5) un résumé des inspections sur place et des activités de contrôle hors site menées par l’organe de contrôle, comprenant au moins les informations suivantes:
- a) l’identification du ou des fournisseurs de portefeuille;
- b) la ou les solutions de portefeuille affectées;
- c) un résumé du résultat;
- d) toute mesure imposée;
- e) toute action entreprise par l’organe de contrôle;
6) une description des activités de contrôle ex post menées conformément à l’article 46 bis, paragraphe 3, point b), du règlement (UE) n°910/2014 et un résumé des principaux défis recensés;
7) une description des notifications d’atteinte à la sécurité importante ou de perte d’intégrité adressées par l’organe de contrôle aux autorités compétentes de l’État membre concerné, désignées ou établies en vertu de l’article 8, paragraphe 1, de la directive (UE) 2022/2555, aux points de contact uniques de l’État membre concerné, désignés ou établis en vertu de l’article 8, paragraphe 3, de la directive (UE) 2022/2555, aux points de contact uniques de l’autre ou des autres États membres concernés, désignés en vertu de l’article 46 quater, paragraphe 1, du règlement (UE) n°910/2014, ou au public;
8) des informations sur les demandes adressées aux fournisseurs de portefeuilles en vue de remédier à tout manquement aux exigences énoncées dans le règlement (UE) n°910/2014;
9) une description des cas dans lesquels l’enregistrement des parties utilisatrices dans le mécanisme visé à l’article 5 ter, paragraphe 7, du règlement (UE) n°910/2014 a été annulé pour des raisons d’utilisation illégale ou frauduleuse du portefeuille européen d’identité numérique;
10) une description de toute coopération ou assistance avec d’autres organes de contrôle établis dans d’autres États membres, conformément aux articles 46 quater et 46 sexies du règlement (UE) n°910/2014, et une vue d’ensemble des résultats de cette coopération;
11) la fréquence et la nature de la coopération avec les autorités de contrôle compétentes instituée en vertu de l’article 51 du règlement (UE) 2016/679;
12) un aperçu des activités de contrôle et des priorités sur lesquelles l’organe de contrôle entend se concentrer au cours de l’année suivante.
ANNEXE II
Informations à inclure dans les rapports annuels des organes de contrôle des services de confiance
Les rapports annuels des organes de contrôle contiennent au moins les informations suivantes:
1) le nom, l’adresse et les coordonnées de l’organe de contrôle qui soumet le rapport annuel;
2) lorsque plusieurs organes de contrôle ont été désignés conformément à l’article 46 ter, paragraphe 1, du règlement (UE) n°910/2014, le champ d’application des activités de contrôle de l’organe de contrôle qui soumet le rapport annuel;
3) une description de l’organisation, de la structure, des ressources et des capacités de l’organe de contrôle qui soumet le rapport annuel;
4) une description des activités de contrôle exercées en vertu de l’article 46 ter, paragraphe 3, points a) et b), au cours de l’année civile concernée, à l’égard des prestataires de services de confiance non qualifiés et qualifiés établis sur le territoire de l’État membre qui a procédé à la désignation et des services de confiance qu’ils fournissent, y compris les cas d’infractions présumées ou potentielles au règlement (UE) n°910/2014, et un résumé des principaux défis recensés;
5) un résumé des inspections sur place et des activités de contrôle hors site menées par l’organe de contrôle qui soumet le rapport annuel, comprenant au moins les informations suivantes:
- a) l’identification du ou des prestataires de services de confiance qualifiés;
- b) le ou les services de confiance affectés;
- c) une description de l’activité de contrôle;
- d) un résumé du résultat;
- e) toute mesure imposée;
- f) toute action entreprise par l’organe de contrôle;
6) une description de toute mesure supplémentaire prise par l’organe de contrôle en vertu de l’article 46 ter, paragraphe 3, du règlement (UE) n°910/2014;
7) une description des notifications d’atteinte à la sécurité importante ou de perte d’intégrité adressées par l’organe de contrôle qui soumet le rapport annuel aux autorités compétentes de l’État membre ou des États membres concernés, désignées ou établies en vertu de l’article 8, paragraphe 1, de la directive (UE) 2022/2555, aux points de contact uniques de l’État membre ou des États membres concernés, désignés ou établis en vertu de l’article 8, paragraphe 3, de la directive (UE) 2022/2555, aux points de contact uniques des autres États membres concernés, désignés en vertu de l’article 46 quater, paragraphe 1, du règlement (UE) n°910/2014, ou au public;
8) une description du domaine de coopération avec d’autres organes de contrôle établis dans d’autres États membres et une description de l’assistance fournie conformément aux articles 46 quater et 46 sexies du règlement (UE) n°910/2014, et une vue d’ensemble des résultats de cette coopération;
9) une description de la fréquence et de la nature de la coopération des organes de contrôle des services de confiance avec les autorités de contrôle compétentes établies en vertu de l’article 51 du règlement (UE) 2016/679, lorsqu’il apparaît que les règles en matière de protection des données à caractère personnel ont été enfreintes, et en cas d’atteintes à la sécurité dont il apparaît qu’elles constituent des violations de données à caractère personnel en ce qui concerne les prestataires de services de confiance et les services de confiance qu’ils fournissent;
10) un résumé du résultat de la vérification de l’existence et de l’application correcte de dispositions relatives aux plans d’arrêt d’activité, lorsqu’un prestataire de services de confiance qualifié contrôlé cesse ses activités, y compris une indication de la manière dont les informations restent accessibles conformément à l’article 24, paragraphe 2, point h), du règlement (UE) n°910/2014;
11) une description de toute enquête suite à des plaintes introduites par les fournisseurs de navigateurs web sur lesquelles ils ont enquêté au cours de la période de référence conformément à l’article 45 bis du règlement (UE) n°910/2014 et sur toute autre mesure consécutive prise dans ce contexte;
12) une description des activités liées aux listes de confiance visées à l’article 22 du règlement (UE) n°910/2014, y compris des mises à jour notables à la suite d’activités de contrôle, d’une expérience appropriée ou de problèmes de conformité avec la décision d’exécution (UE) 2015/1505 de la Commission (1), en particulier en ce qui concerne les exigences en matière de disponibilité;
13) des informations sur les systèmes nationaux d’accréditation des organismes d’évaluation de la conformité, les systèmes nationaux d’évaluation de la conformité ou les orientations connexes aux systèmes d’évaluation de la conformité, ou des informations sur les initiatives connexes;
14) une description, le cas échéant, de toute infrastructure de confiance établie, gérée et actualisée par un organe de contrôle à la demande d’un État membre et conformément au droit national.
(1) Décision d’exécution (UE) 2015/1505 de la Commission du 8 septembre 2015 établissant les spécifications techniques et les formats relatifs aux listes de confiance visées à l’article 22, paragraphe 5, du règlement (UE) n°910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JO L 235 du 9.9.2015, p. 26, ELI: http://data.europa.eu/eli/dec_impl/2015/1505/oj).