5.3. Sécurité informatique et de l'information
Règlement d’exécution (UE) 2025/1572 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les formats et les procédures de notification d’intention et de vérification applicables au lancement de services de confiance qualifiés
| Date de signature : | 29/07/2025 | Statut du texte : | En vigueur |
| Date de publication : | 30/07/2025 | Emetteur : | |
| Consolidée le : | Source : | JOUE Série L du 30 juillet 2025 | |
| Date d'entrée en vigueur : | 19/08/2025 |
Règlement d’exécution (UE) 2025/1572 de la Commission du 29 juillet 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les formats et les procédures de notification d’intention et de vérification applicables au lancement de services de confiance qualifiés
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 21, paragraphe 4,
considérant ce qui suit:
1) Lorsque des prestataires de services de confiance ont l’intention de commencer à fournir un service de confiance qualifié, il leur incombe de notifier à l’organe de contrôle leur intention accompagnée d’un rapport d’évaluation de la conformité délivré par un organisme d’évaluation de la conformité confirmant le respect des exigences fixées par le règlement n°910/2014. Il appartient à l’organe de contrôle de vérifier si le prestataire de services de confiance et les services de confiance qu’il fournit respectent les exigences énoncées dans ledit règlement. Si l’organe de contrôle conclut que le prestataire de services de confiance et les services de confiance qu’il fournit respectent ces exigences, il lui incombe d’accorder le statut qualifié au prestataire de services de confiance et aux services de confiance que ce dernier fournit. À cette fin, les organes de contrôle devraient publier des informations sur la manière dont les prestataires de services de confiance sont censés notifier leur intention de devenir prestataires de services de confiance qualifiés. Afin de garantir que les prestataires de services de confiance qualifiés opèrent dans les mêmes conditions partout dans l’Union, il est nécessaire que les vérifications des organes de contrôle portent sur le même type d’informations concernant les prestataires de services de confiance et qu’elles soient effectuées de la même manière.
2) Les organes de contrôle devraient garantir la transparence quant à la manière dont ils traitent les informations que les prestataires de services de confiance font figurer dans leurs notifications. Les organes de contrôle devraient donc rédiger et publier une description de la manière dont ils vérifient si le prestataire de services de confiance respecte les exigences applicables.
3) Le règlement devrait s’appliquer 12 mois après son entrée en vigueur afin que les États membres disposent d’une période transitoire suffisante pour leur permettre de se conformer aux exigences du présent règlement en procédant aux adaptations nécessaires en ce qui concerne les notifications aux organes de contrôle. Ces adaptations peuvent comprendre la mise à jour des législations nationales, des lignes directrices organisationnelles et des systèmes d’information nationaux.
4) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (2) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (3) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.
5) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (4) et a rendu son avis le 6 juin 2025.
6) Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Méthode de vérification
1. Les organes de contrôle établissent une méthode pour vérifier que les prestataires de services de confiance ayant notifié leur intention de commencer à fournir un service de confiance qualifié respectent les exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21, paragraphe 2, de la directive (UE) 2022/2555 du Parlement européen et du Conseil (5).
2. La méthode de vérification comprend des procédures et des processus permettant d’associer les autorités compétentes désignées ou établies en vertu de l’article 8, paragraphe 1, de la directive (UE) 2022/2555, qui mènent des actions de supervision afin de vérifier le respect, par le prestataire de services de confiance, des exigences énoncées à l’article 21 de la directive (UE) 2022/2555.
Article 2
Transparence
Les organes de contrôle publient les informations suivantes:
1) les coordonnées de l’organe de contrôle;
2) les canaux de communication à utiliser lorsque les prestataires de services de confiance notifient leur intention de commencer à fournir un service de confiance qualifié;
3) la liste des documents que les prestataires de services de confiance doivent fournir dans le cadre d’une notification de l’intention de commencer à fournir un service de confiance qualifié;
4) les procédures de traitement des réclamations relatives au processus permettant de vérifier que les prestataires de services de confiance ayant notifié leur intention de commencer à fournir un service de confiance qualifié respectent les exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21, paragraphe 2, de la directive (UE) 2022/2555;
5) une description générale de la méthode mentionnée à l’article 1er.
Article 3
Notifications des prestataires de services de confiance
Les prestataires de services de confiance fournissent au moins les informations suivantes dans leurs notifications d’intention de commencer à fournir un service de confiance qualifié:
1) lorsque le prestataire de services de confiance est une personne morale, son nom et, le cas échéant, un numéro d’enregistrement, le nom de l’État membre dans lequel il est établi et le nom de la ou des personnes qui signent ou soumettent la notification au nom de la personne morale;
2) lorsque le prestataire de services de confiance est une personne physique, son nom et son numéro d’identification personnel et, à défaut, sa date de naissance ainsi que le type et le numéro de son document d’identité;
3) le numéro de téléphone, l’adresse électronique et l’adresse postale du prestataire de services de confiance;
4) les identifiants uniformes de ressources (URI) permettant aux utilisateurs d’obtenir des informations supplémentaires concernant ce prestataire de services de confiance, y compris les déclarations et politiques en matière de pratiques, les conditions générales et les politiques de service à la clientèle qui s’appliquent au service de confiance notifié;
5) l’analyse des risques sous-tendant les mesures visées à l’article 24, paragraphe 2, point f bis), du règlement (UE) n°910/2014 et l’analyse des risques sous-tendant les mesures visées à l’article 21 de la directive (UE) 2022/2555;
6) chaque service de confiance qualifié que le prestataire de services de confiance a l’intention de commencer à fournir;
7) pour chaque service de confiance que le prestataire de services de confiance a l’intention de commencer à fournir en tant que service de confiance qualifié:
- un ou plusieurs identifiants et, le cas échéant, certificats du service de confiance, à inclure dans la liste nationale de confiance conformément aux actes d’exécution adoptés en vertu de l’article 22, paragraphe 5, du règlement (UE) n°910/2014,
- la date prévue pour le début de la fourniture du service de confiance,
- le ou les rapports d’évaluation de la conformité du service de confiance et les coordonnées de l’organisme d’évaluation de la conformité,
- le cas échéant, les rapports techniques étayant le rapport d’évaluation de la conformité;
8) le plan d’arrêt d’activité mentionné à l’article 24, paragraphe 2, point i), du règlement (UE) n°910/2014.
Article 4
Vérifications par les organes de contrôle
1. Afin de déterminer si le prestataire de services de confiance et le service de confiance qualifié que celui-ci a l’intention de fournir respectent les exigences du règlement (UE) n°910/2014 et de l’article 21 de la directive (UE) 2022/2555, les organes de contrôle analysent les informations fournies par le prestataire de services de confiance et peuvent, en sus des éventuelles mesures décrites dans la méthode établie conformément à l’article 1er, effectuer des vérifications sur place, et mener des entretiens avec des représentants du prestataire de services de confiance et de l’organisme d’évaluation de la conformité.
2. Les organes de contrôle vérifient au moins les éléments suivants:
- a) le rapport d’évaluation de la conformité présenté contient suffisamment d’éléments démontrant que le prestataire de services de confiance et le service de confiance qualifié qu’il a l’intention de fournir respectent les exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555;
- b) le rapport d’évaluation de la conformité soumis satisfait aux exigences énoncées dans les actes d’exécution adoptés en vertu de l’article 20, paragraphe 4, du règlement (UE) n°910/2014;
- c) toute information contenue dans le rapport d’évaluation de la conformité présenté indiquant que les exigences du règlement (UE) n°910/2014 ne sont pas respectées;
- d) toute information supplémentaire jugée nécessaire pour vérifier le respect des exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555.
Article 5
Entrée en vigueur et applicabilité
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 19 août 2026.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 29 juillet 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(4) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(5) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa. eu/eli/dir/2022/2555/oj).