Règlement d’exécution (UE) 2025/2162 de la Commission du 27 octobre 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne l’accréditation des organismes d’évaluation de la conformité procédant à l’évaluation des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent, le rapport d’évaluation de la conformité et le système d’évaluation de la conformité

LA COMMISSION EUROPÉENNE,

• vu le traité sur le fonctionnement de l’Union européenne,
• vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 20, paragraphe 4,

considérant ce qui suit:

(1) Conformément à l’article 20, paragraphe 1, et à l’article 21, paragraphe 1, du règlement (UE) n°910/2014, les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent doivent faire l’objet d’un audit par un organisme d’évaluation de la conformité. Les rapports d’évaluation de la conformité qui en résultent confirment que les exigences énoncées dans ledit règlement et à l’article 21 de la directive (UE) 2022/2555 du Parlement européen et du Conseil (2) sont respectées. Par conséquent, il est nécessaire d’établir un cadre harmonisé et solide pour l’accréditation des organismes d’évaluation de la conformité, les systèmes d’évaluation de la conformité qu’ils mettent en oeuvre, les évaluations de la conformité qu’ils effectuent conformément à ces systèmes et les rapports d’évaluation de la conformité qui en résultent.

(2) L’accréditation des organismes d’évaluation de la conformité effectuant l’audit des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent, le rapport d’évaluation de la conformité et le système d’évaluation de la conformité devraient satisfaire aux exigences énoncées dans le présent règlement. Les organismes d’évaluation de la conformité peuvent satisfaire à ces exigences soit de manière indépendante, soit en recourant à la certification composite, soit en sous-traitant à des entités dûment accréditées.

(3) Les organismes d’évaluation de la conformité accrédités pour l’évaluation des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent en ce qui concerne la délivrance d’attestations électroniques d’attributs qualifiées devraient être autorisés à délivrer le rapport d’évaluation de la conformité requis par l’article 45 septies, paragraphe 3, du règlement (UE) n°910/2014.

(4) Afin de contribuer à la transparence du processus d’accréditation, le certificat d’accréditation délivré à un organisme d’évaluation de la conformité conformément à l’article 5 du règlement (CE) n°765/2008 du Parlement européen et du Conseil (3) devrait contenir suffisamment d’informations pour permettre aux tiers de vérifier que l’organisme d’évaluation de la conformité accrédité est autorisé à procéder à une évaluation de la conformité au titre du règlement (UE) n°910/2014.

(5) Afin de préserver l’intégrité et l’exactitude des certificats d’accréditation, les organismes nationaux d’accréditation devraient veiller à ce que ces certificats correspondent à des informations à jour.

(6) Pour garantir l’intégrité du processus d’accréditation, le certificat d’accréditation délivré à un organisme d’évaluation de la conformité peut être suspendu ou retiré à tout moment en ce qui concerne chaque service de confiance qualifié pour l’évaluation duquel l’organisme d’évaluation de la conformité a été accrédité. La suspension ou le retrait peut intervenir après une sanction par l’organisme national d’accréditation ou être effectué volontairement par l’organisme d’évaluation de la conformité lui-même.

(7) Aux fins de l’harmonisation de ce cadre d’accréditation, le présent règlement devrait être fondé sur des normes établies, qui reflètent les pratiques établies et qui sont largement reconnues dans les secteurs concernés.

(8) Afin de renforcer la transparence, les organismes d’évaluation de la conformité devraient rendre publics les certificats de conformité qu’ils délivrent. Les certificats de conformité confirment les décisions de certification positives prises par les organismes d’évaluation de la conformité. Toutefois, seul l’organe de contrôle accorde ou retire le statut qualifié au prestataire de services de confiance et aux services de confiance qu’il fournit.

(9) Pour évaluer la conformité des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent au règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555, les organismes d’évaluation de la conformité devraient utiliser un système d’évaluation de la conformité. Les organismes d’évaluation de la conformité devraient utiliser des normes comme critères de référence pour évaluer les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent, en tenant compte des versions et des adaptations de ces normes figurant dans les actes d’exécution spécifiques au service fondés sur le règlement (UE) n°910/2014. Ces normes devraient tenir compte des pratiques établies et être largement reconnues dans les secteurs concernés.

(10) Les systèmes d’évaluation de la conformité définissent les règles et procédures que les organismes d’évaluation de la conformité doivent utiliser pour évaluer les prestataires de services de confiance qualifiés et les services de confiance qualifiés qu’ils fournissent. Ces systèmes sont évalués par les organismes nationaux d’accréditation au regard des exigences énoncées dans le présent règlement. Le contenu de ces systèmes est susceptible d’évoluer au fil du temps. Afin de faciliter l’application de versions successives des systèmes d’évaluation de la conformité, les organismes d’évaluation de la conformité accrédités devraient mettre en place un processus spécifique pour gérer les évolutions d’un système pour lequel ils sont accrédités.

(11) Afin de superviser l’élaboration et la maintenance des programmes d’évaluation de la conformité, il convient d’attribuer à chaque système d’évaluation de la conformité un propriétaire du système. Le propriétaire du système peut être un organisme d’évaluation de la conformité, un organisme gouvernemental ou une autorité, une association professionnelle, un groupe d’organismes d’évaluation de la conformité ou tout organisme ou groupe d’organismes approprié, et il peut être différent de l’organisme d’évaluation de la conformité qui gère le système.

(12) Afin d’assurer la continuité de la fourniture des services des organismes d’évaluation de la conformité, l’accréditation de ces derniers devrait rester valable pour les versions antérieures des normes référencées dans le système d’évaluation de la conformité. Dans ces cas, les organismes d’évaluation de la conformité devraient faire explicitement référence à ces versions antérieures des normes, y compris l’année et le numéro de version.

(13) Afin de renforcer la flexibilité, les organismes nationaux d’accréditation devraient être autorisés à proposer une accréditation en portée flexible, permettant aux organismes d’évaluation de la conformité, dans des circonstances particulières, d’ajouter des activités supplémentaires à leur portée d’accréditation sans qu’une évaluation par l’organisme national d’accréditation soit nécessaire. Lors de la conception de l’accréditation en portée flexible, les organismes nationaux d’accréditation envisageront l’accréditation des portées flexibles telle que définie par la coopération européenne pour l’accréditation, désignée conformément au règlement (CE) n°765/2008. Lorsque les organismes nationaux d’accréditation autorisent les organismes d’évaluation de la conformité à recourir à cette accréditation en portée flexible, ils devraient l’indiquer dans le certificat d’accréditation à des fins de transparence. Afin d’accroître la flexibilité même lorsque les organismes nationaux d’accréditation ne proposent pas d’accréditation en portée flexible, ces organismes devraient examiner attentivement, avant de réévaluer l’organisme d’évaluation de la conformité accrédité, l’incidence des modifications apportées au système d’évaluation de la conformité pour lequel cet organisme a été accrédité.

(14) Afin de garantir la fiabilité des systèmes d’évaluation de la conformité, les propriétaires devraient veiller à ce que leurs systèmes d’évaluation de la conformité ne permettent pas la délivrance de décisions de certification positives, ou d’un éventuel certificat de conformité, lorsque l’évaluation de la conformité met en évidence une quelconque non- conformité aux exigences du règlement (UE) n°910/2014, ou à l’article 21 de la directive (UE) 2022/2555, en ce qui concerne les prestataires de services de confiance qualifiés et le service de confiance qualifié qu’ils fournissent. En effet, si un rapport d’évaluation de la conformité peut relever des non-conformités et inclure des plans de mesures correctives potentiels, aucun certificat de conformité ou décision de certification positive ne devrait être délivré lorsque des non-conformités sont constatées.

(15) Afin de garantir la transparence de leurs pratiques, les propriétaires de systèmes devraient mettre à la disposition du public un résumé de leurs systèmes d’évaluation de la conformité. Le résumé devrait contenir une description de l’ensemble des règles et procédures suivies pour évaluer la conformité des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent aux exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555.

(16) Afin de contribuer à la qualité, la sécurité et la fiabilité des activités du prestataire de services de confiance qualifié, le rapport d’évaluation de la conformité devrait recenser, le cas échéant, les possibilités d’amélioration susceptibles de perfectionner la manière dont le prestataire de services de confiance qualifié et les services de confiance qualifiés qu’il fournit satisfont aux exigences applicables.

(17) Afin de favoriser la transparence et de faciliter la tâche des organes de contrôle chargés de vérifier qu’un prestataire de services de confiance qualifié évalué et les services de confiance qualifiés qu’il fournit satisfont aux exigences applicables, le rapport d’évaluation de la conformité devrait inclure certaines informations minimales. En particulier, afin de faciliter l’identification des services devant être inscrits sur la liste nationale de confiance conformément à l’article 22 du règlement (UE) n°910/2014, le cas échéant, il convient de fournir, dans le rapport d’évaluation de la conformité, une description détaillée de la hiérarchie fonctionnelle de l’infrastructure à clé publique, par type de service de confiance qualifié.

(18) Afin de favoriser la transparence et de faciliter la vérification et le contrôle de l’accréditation des organismes d’évaluation de la conformité conformément au règlement (UE) n°910/2014, les organismes nationaux d’accréditation devraient, le cas échéant, fournir un historique de la portée de l’accréditation, y compris la date de début et, éventuellement, la date de fin de l’accréditation pour chaque service de confiance qualifié.

(19) Afin d’assurer la continuité des organismes d’évaluation de la conformité qui ont déjà été accrédités et de soutenir la transition vers les règles énoncées dans le présent règlement, les organismes d’évaluation de la conformité qui sont actuellement accrédités au titre de la norme ETSI EN 319 403 version 2.2.2, ou d’une version antérieure de celle-ci, ne devraient pas être réaccrédités au titre du règlement (UE) n°910/2014 avant le 17 mai 2027. Après cette date, les organismes d’évaluation de la conformité devraient être évalués par l’organisme national d’accréditation au regard des exigences énoncées dans le présent règlement.

(20) La Commission évalue régulièrement de nouvelles technologies, pratiques, normes ou spécifications techniques. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (4), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement d’exécution, afin de le maintenir en adéquation avec les évolutions générales, les nouvelles technologies et les normes ou spécifications techniques et de suivre les meilleures pratiques sur le marché intérieur.

(21) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (5) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (6) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.

(22) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (7) et a rendu son avis le 8 août 2025 (8).

(23) Les mesures prévues par le présent règlement sont conformes à l’avis du comité établi par l’article 48 du règlement (UE) n°910/2014,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier
Définitions

Aux fins du présent règlement, on entend par:

1) «propriétaire du système»: une entité ou un groupe d’entités qui est responsable de l’élaboration et de la maintenance d’un système d’évaluation de la conformité;

2) «décision de certification»: une décision de certification qui fait suite à une évaluation de la conformité effectuée par un organisme d’évaluation de la conformité, par laquelle cet organisme confirme ou infirme qu’un prestataire de services de confiance qualifié donné et le service de confiance qualifié qu’il fournit respectent les exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555;

3) «certificat de conformité»: un document par lequel un organisme d’évaluation de la conformité atteste une décision de certification qui confirme qu’un prestataire de services de confiance qualifié donné et le service de confiance qualifié qu’il fournit respectent les exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555;

4) «système d’évaluation de la conformité»: un ensemble des règles et procédures utilisées par les organismes d’évaluation de la conformité pour évaluer la conformité des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent aux exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555;

5) «rapport d’évaluation de la conformité»: un document qui fournit des informations détaillées, le cas échéant en complément de celles contenues dans une décision de certification et dans le certificat de conformité qui lui est associé, sur la méthode utilisée pour effectuer, conformément à un système d’évaluation de la conformité, une évaluation de la conformité d’un prestataire de services de confiance qualifié donné et du service de confiance qualifié qu’il fournit aux exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555, ainsi que sur les résultats de l’évaluation de la conformité;

6) «accréditation»: une accréditation au sens de l’article 2, point 10), du règlement (CE) n°765/2008;

7) «accréditation en portée flexible»: une accréditation dans laquelle les activités spécifiques d’évaluation de la conformité pour lesquelles l’accréditation est demandée, ou a été accordée, sont exprimées de manière à permettre aux organismes d’évaluation de la conformité d’apporter des modifications à leur méthodologie et à d’autres paramètres relevant de la compétence de l’organisme d’évaluation de la conformité, telle qu’elle a été confirmée par l’organisme national d’accréditation;

8) «organisme national d’accréditation»: un organisme national d’accréditation tel que défini à l’article 2, point 11), du règlement (CE) n°765/2008.

Article 2
Accréditation des organismes d’évaluation de la conformité

1. Pour pouvoir prendre des décisions de certification conformément à un système d’évaluation de la conformité donné, les organismes d’évaluation de la conformité sont accrédités conformément à la norme EN ISO/IEC 17065:2012 complétée par la norme ETSI EN 319 403-1 v2.3.1.

2. L’accréditation des organismes d’évaluation de la conformité visés au paragraphe 1 est effectuée par un organisme national d’accréditation conformément à la norme EN ISO/IEC 17011:2017.

Article 3
Certificat d’accréditation délivré aux organismes d’évaluation de la conformité

1. Les organismes nationaux d’accréditation veillent à ce que les certificats d’accréditation qu’ils délivrent aux organismes d’évaluation de la conformité contiennent au moins les informations suivantes:

• a) le code d’identification unique du certificat d’accréditation;
• b) la date de délivrance du certificat d’accréditation;
• c) le nom et le pays, tels qu’ils figurent dans les registres officiels nationaux, de l’organisme national d’accréditation délivrant le certificat d’accréditation;
• d) le nom et, le cas échéant, le numéro d’immatriculation de l’organisme d’évaluation de la conformité accrédité, tels qu’ils figurent dans les registres officiels nationaux;
• e) la portée de l’accréditation, en ce qui concerne un ou plusieurs des services de confiance qualifiés suivants:
  • la délivrance de certificats qualifiés de signature électronique,
  • la délivrance de certificats qualifiés de cachet électronique,
  • la délivrance de certificats qualifiés d’authentification de site internet,
  • le service de validation qualifié des signatures électroniques qualifiées,
  • le service de validation qualifié des cachets électroniques qualifiés,
  • le service qualifié de préservation des signatures électroniques qualifiées,
  • le service qualifié de préservation des cachets électroniques qualifiés,
  • la création d’horodatages électroniques qualifiés,
  • la fourniture de services d’envoi recommandé électronique,
  • le service qualifié de gestion de dispositifs de création de signature électronique qualifiés à distance,
  • le service qualifié de gestion de dispositifs de création de cachet électronique qualifiés à distance,
  • la fourniture de services d’archivage électronique qualifiés,
  • la délivrance d’attestations électroniques d’attributs qualifiées,
  • l’enregistrement de données électroniques dans un registre électronique qualifié;
• f) l’identification, y compris, le cas échéant, la version spécifique, du système d’évaluation de la conformité pour lequel l’organisme d’évaluation de la conformité a été accrédité;
• g) une mention indiquant que l’accréditation en portée flexible est utilisée, le cas échéant;
• h) le cas échéant, la mention du document décrivant le processus de conception et de mise en oeuvre de l’accréditation en portée flexible.

2. Les organismes nationaux d’accréditation veillent à ce que la date de début et, le cas échéant, la date de fin de l’accréditation de l’organisme d’évaluation de la conformité pour la réalisation de l’évaluation de la conformité des services de confiance qualifiés visés au paragraphe 1, point e), y compris les dates spécifiques pour chaque service de confiance qualifié, le cas échéant, fassent partie des informations d’accréditation mentionnées à l’article 20, paragraphe 1 ter, du règlement (UE) n°910/2014.

3. Les organismes nationaux d’accréditation veillent à ce que toute modification pertinente apportée aux informations fournies conformément au paragraphe 1 apparaisse clairement dans le certificat d’accréditation.

4. Le certificat d’accréditation décrit clairement la portée de l’accréditation de l’organisme d’évaluation de la conformité, conformément à l’article 2, paragraphe 1.

Article 4
Réexamen de l’accréditation existante

1. Le propriétaire du système met en oeuvre des procédures pour surveiller toute éventuelle modification apportée aux normes visées à l’article 2, paragraphe 1, ou à l’article 6, paragraphe 3, ou à un système d’évaluation de la conformité dont il est propriétaire et sur la base duquel un organisme d’évaluation de la conformité a été accrédité conformément à l’article 2.

2. Le propriétaire du système notifie en temps utile à l’organisme national d’accréditation les modifications constatées à l’issue des procédures prévues au paragraphe 1.

3. Lorsque l’organisme national d’accréditation n’a pas appliqué d’accréditation en portée flexible aux organismes d’évaluation de la conformité accrédités, il détermine si les modifications constatées à l’issue des procédures prévues au paragraphe 1 sont susceptibles d’affecter sensiblement la capacité des organismes d’évaluation de la conformité accrédités à effectuer des évaluations de la conformité conformément aux systèmes pour lesquels ils ont été accrédités.

4. Lorsque l’organisme national d’accréditation constate, conformément au paragraphe 3, que des modifications affectent la capacité des organismes d’évaluation de la conformité à effectuer des évaluations de la conformité, il demande à l’organisme d’évaluation de la conformité de prendre les mesures appropriées dans un délai raisonnable prescrit.

5. Si l’organisme d’évaluation de la conformité ne peut ou ne souhaite pas prendre les mesures visées au paragraphe 4 dans le délai prescrit, l’organisme national d’accréditation retire ou suspend immédiatement
l’accréditation.

6. Lorsque l’organisme national d’accréditation détermine, conformément au paragraphe 3, que les modifications n’affectent pas la capacité des organismes d’évaluation de la conformité à effectuer des évaluations de la conformité, il peut, le cas échéant, étendre la validité et la portée de l’accréditation de l’organisme d’évaluation de la conformité évalué.

7. Le cas échéant, l’organisme national d’accréditation met à jour le certificat d’accréditation en temps voulu afin de tenir compte des résultats du réexamen de l’accréditation conformément au présent article.

8. Lorsqu’un organisme d’évaluation de la conformité reçoit une demande en vertu du paragraphe 4, il informe en temps utile tout prestataire de services de confiance qualifié qu’il a précédemment évalué dans le cadre du système d’évaluation de la conformité pertinent de toute incidence que le réexamen de l’accréditation de l’organisme d’évaluation de la conformité peut avoir sur ces prestataires de services de confiance qualifiés, y compris en ce qui concerne les futures décisions de certification prises par l’organisme d’évaluation de la conformité dans le cadre de ce système.

Article 5
Organismes d’évaluation de la conformité

1. Les organismes d’évaluation de la conformité mettent à disposition les certificats de conformité qu’ils délivrent dans un répertoire public qu’ils tiennent à jour à cet effet.

2. Toute sous-traitance, par l’organisme d’évaluation de la conformité, de l’exécution des activités d’évaluation de la conformité tient dûment compte de la nature de l’activité à réaliser. L’organisme d’évaluation de la conformité s’assure que le sous-traitant respecte les normes énoncées à l’annexe I pour l’activité spécifique sous-traitée.

3. Lorsqu’ils adoptent une décision de certification, les organismes d’évaluation de la conformité veillent à ce que le prestataire de services de confiance qualifié auquel la décision se rapporte soit en mesure de soumettre aux organes de contrôle les rapports complets d’évaluation de la conformité correspondant à cette décision.

Article 6
Systèmes d’évaluation de la conformité

1. Chaque système d’évaluation de la conformité fournit des données d’identification du propriétaire du système.

2. Un système d’évaluation de la conformité est conforme au programme de type 6 de la norme EN ISO/IEC 17067:2013 et aux exigences énoncées dans le présent article.

3. Les propriétaires de systèmes veillent à ce que leurs systèmes d’évaluation de la conformité comprennent au moins les normes énoncées à l’annexe II, selon le cas, en indiquant l’année et le numéro de version de ces normes.

4. Les propriétaires de systèmes font en sorte que l’éventuelle application d’une accréditation en portée flexible soit indiquée dans le système d’évaluation de la conformité.

5. Les propriétaires de systèmes veillent à ce que leurs programmes d’évaluation de la conformité établissent des processus et des procédures concernant au moins les éléments suivants:

• a) la réception et le traitement des plaintes adressées au propriétaire du système concernant la mise en oeuvre du système d’évaluation de la conformité;
• b) les notifications adressées par l’organisme d’évaluation de la conformité à l’organe de contrôle désigné conformément à l’article 46 ter, paragraphe 1, du règlement (UE) n°910/2014 concernant la délivrance des certificats de conformité et toute modification apportée à ceux-ci;
• c) le cas échéant, la sous-traitance de l’exécution des activités d’évaluation de la conformité par l’organisme d’évaluation de la conformité;
• d) la réalisation d’activités de surveillance annuelles sur la base des exigences applicables du paragraphe 7.9 de la norme ISO/IEC 17065:2012;
• e) la gestion et la notification par le prestataire de services de confiance qualifié à l’organisme d’évaluation de la conformité et à l’organe de contrôle compétent de toute modification ayant une incidence sur le fonctionnement des prestataires de services de confiance qualifiés ou des services de confiance qualifiés qu’ils fournissent;
• f) la vérification des éléments de preuve démontrant que l’organisme d’évaluation de la conformité:
  • possède des connaissances et une expertise suffisantes en ce qui concerne l’application des normes spécifiques relatives au service de confiance qualifié fourni par le prestataire de services de confiance qualifié, tel que visé au paragraphe 3,
  • possède une expérience professionnelle de l’évaluation de la conformité dans au moins trois évaluations de prestataires de services de confiance ou trois évaluations de systèmes de gestion de la sécurité de l’information, et
  • peut garantir la disponibilité d’une équipe d’au moins deux personnes qualifiées possédant l’expertise nécessaire pour procéder à cette évaluation de la conformité.

6. Les propriétaires de systèmes veillent à ce que leurs systèmes d’évaluation de la conformité exigent des prestataires de services de confiance qualifiés qu’ils mettent en place des processus, des procédures et des instructions de travail pour faire en sorte que l’organisme d’évaluation de la conformité soit informé au moins un mois à l’avance lorsque les prestataires de services de confiance qualifiés mettent en oeuvre une éventuelle modification importante dans la fourniture des services de confiance qualifiés certifiés dans le cadre de ce système et au moins trois mois à l’avance lorsqu’ils ont l’intention de mettre un terme à la fourniture de tout ou partie des services.

7. Les propriétaires de systèmes veillent à ce que leurs schémas d’évaluation de la conformité ne permettent pas la délivrance de décisions de certification positives ou de certificats de conformité lorsque l’évaluation de la conformité met en évidence une non-conformité des prestataires de services de confiance qualifiés évalués et du service de confiance qualifié qu’ils fournissent aux exigences du règlement (UE) n°910/2014 et de l’article 21 de la directive (UE) 2022/2555.

8. Les propriétaires de systèmes veillent à ce que leurs systèmes d’évaluation de la conformité définissent la procédure relative à la délivrance d’un certificat de conformité. Ils exigent notamment que les prestataires de services de confiance qualifiés informent immédiatement l’organe de contrôle compétent de toute modification apportée à un certificat de conformité. Ils exigent également que les prestataires de services de confiance qualifiés s’abstiennent de fournir les services de confiance qualifiés concernés ou de publier d’éventuelles références à ces services jusqu’à ce que l’organe de contrôle compétent confirme à nouveau le statut qualifié. Cette procédure est conforme aux exigences énoncées au paragraphe 7.11 de la norme ISO/IEC 17065:2012.

9. Les propriétaires de systèmes veillent à ce que leurs programmes d’évaluation de la conformité définissent le processus d’évaluation de la conformité à exécuter sur un nombre suffisant de personnes-jours et veillent à ce que les ressources et le temps alloués à l’évaluation de la conformité soient suffisants compte tenu de la portée et de la complexité de l’évaluation.

10. Les propriétaires de systèmes publient un résumé du système d’évaluation de la conformité à des fins de téléchargement. Le résumé contient une description de l’ensemble des règles et procédures suivies pour évaluer la conformité des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent aux exigences du règlement (UE) n°910/2014 et de l’article 21 de la directive (UE) 2022/2555.

11. Les propriétaires de systèmes veillent à ce que leurs programmes d’évaluation de la conformité exigent qu’au moins une évaluation de surveillance soit effectuée chaque année pour chaque service de confiance qualifié évalué.

Article 7
Rapports d’évaluation de la conformité

1. Le rapport d’évaluation de la conformité visé à l’article 20, paragraphe 1, du règlement (UE) n°910/2014 est conforme aux spécifications énoncées à l’annexe III.

2. Le rapport d’évaluation de la conformité est considéré comme faisant partie de la documentation de certification figurant au paragraphe 7.7 de la norme ETSI EN 319 403-1.

Article 8
Informations relatives à l’accréditation

1. Toute partie intéressée peut demander gratuitement des informations actuelles et anciennes sur la portée, la date de début et, le cas échéant, la date de fin de l’accréditation des organismes d’évaluation de la conformité, pour chaque type de service de confiance qualifié que l’organisme d’évaluation de la conformité est ou a été accrédité pour évaluer. Ces informations sont mises à disposition par les organismes nationaux d’accréditation.

2. Les informations actuelles et anciennes visées au paragraphe 1 devraient être mises à disposition pendant une période d’au moins 6 ans après l’accréditation de l’organisme d’évaluation de la conformité.

Article 9
Clause de maintien des acquis

Les organismes d’évaluation de la conformité qui, avant le 17 novembre 2025, ont été accrédités conformément à la norme ETSI EN 319 403 version 2.2.2, ou à une version antérieure, aux fins de l’évaluation de la conformité au règlement (UE) n°910/2014 des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent, sont réputés satisfaire aux exigences de l’article 2, paragraphe 1, jusqu’au 17 mai 2027.

Article 10
Entrée en vigueur

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 27 octobre 2025.

Par la Commission
La présidente
Ursula VON DER LEYEN
                
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n°910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa. eu/eli/dir/2022/2555/oj).
(3) Règlement (CE) n°765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) n°339/93 du Conseil (JO L 218 du 13.8.2008, p. 30, ELI: http://data.europa.eu/eli/reg/2008/765/oj).
(4) Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/ eli/reg/2024/1183/oj).
(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(6) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(7) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(8) EDPS Formal comments on the draft regarding the accreditation of conformity assessment bodies performing the assessment of qualified trust service providers and the qualified trust services they provide | Contrôleur européen de la protection des données.

ANNEXE I
Normes de référence pour la sous-traitance d’activités d’évaluation de la conformité

1) EN ISO/CEI 17025:2017 pour les activités d’essai.

2) EN ISO/IEC 17021-1: 2015 pour l’audit des systèmes de management.

3) EN ISO/IEC 17020:2012 pour les activités d’inspection.

4) EN ISO/IEC 17065:2012 pour les activités d’évaluation de la conformité.

ANNEXE II
Normes de référence pour les systèmes d’évaluation de la conformité

Les normes visées à l’article 6, paragraphe 3, sont ETSI TS 119 612 v2.4.1, ainsi que les normes suivantes:

ANNEXE III
Spécifications relatives aux rapports d’évaluation de la conformité

Le rapport d’évaluation de la conformité visé à l’article 7, paragraphe 1,

1) est accompagné d’une décision de certification claire conformément au paragraphe 7.6 de la norme ETSI EN 319403-1 v2.3.1 («ETSI EN 319403-1»), indiquant si le prestataire de services de confiance évalué et les services de confiance qualifiés évalués qu’il fournit ou vise à fournir satisfont aux exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555;

2) précise le nom du prestataire de services de confiance qualifié et, le cas échéant, son numéro d’immatriculation, tel qu’il figure dans les registres officiels, son adresse postale officielle et son adresse électronique, ainsi que, le cas échéant, les mêmes informations pour toutes les filiales, entités juridiques affiliées, contractants et sous-traitants qui exploitent des composantes de services de confiance relevant de la fourniture des services de confiance qualifiés par le prestataire de services de confiance qualifié;

3) comprend une description détaillée de la portée de l’évaluation du prestataire de services de confiance qualifié, y compris des services de confiance qualifiés spécifiques couverts par l’évaluation;

4) contient suffisamment d’éléments démontrant que le prestataire de services de confiance et les services de confiance qualifiés qu’il a l’intention de fournir respectent les exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555;

5) le nom de l’organisme d’évaluation de la conformité et, le cas échéant, son numéro d’immatriculation, tels qu’ils figurent dans les registres officiels, son adresse postale enregistrée et son adresse électronique;

6) précise les informations suivantes:

• a) le nom et le pays de l’organisme national d’accréditation ayant accrédité l’organisme d’évaluation de la conformité;
• b) le nom des personnes physiques que l’organisme d’évaluation de la conformité charge de participer à l’évaluation de la conformité et leur rôle respectif dans cette évaluation;
• c) le lien vers le site internet officiel de l’organisme national d’accréditation, contenant le certificat d’accréditation délivré par l’organisme national d’accréditation à l’organisme d’évaluation de la conformité;
• d) le cas échéant, le symbole d’accréditation numérique;
• e) le système d’évaluation de la conformité pour lequel l’organisme d’évaluation de la conformité a été accrédité conformément à l’article 2, paragraphe 1;
• f) les renseignements relatifs à l’évaluation de la conformité demandés dans le cadre de l’évaluation de la conformité effectuée, les motifs justifiant leur sélection et la méthodologie utilisée, y compris la méthode d’échantillonnage et les procédures d’essai;
• g) le système d’évaluation de la conformité accrédité et les documents pertinents ou un lien vers l’endroit où ce système d’évaluation de la conformité et les documents pertinents sont disponibles;

7) contient au moins une signature électronique qualifiée, si le rapport est fourni sous forme électronique, ou une signature manuscrite, s’il est fourni sur support papier, indiquant le nom et le titre de la ou des personnes responsables qui ont été habilitées à adopter la décision de certification au nom de l’organisme d’évaluation de la conformité;

8) concerne un prestataire de services de confiance qualifié;

9) énumère, conformément au paragraphe 5.5.3 de la norme ETSI TS 119612 v.2.4.1, les identités numériques du service par type de service de confiance qualifié pour lequel il confirme la conformité aux exigences énoncées dans le règlement (UE) n°910/2014 et à l’article 21 de la directive (UE) 2022/2555, en fournissant les informations suivantes:

• a) lorsque le service de confiance qualifié n’est pas fondé sur une technologie d’infrastructure à clé publique, un identifiant exprimé sous la forme d’un URI qui identifie de manière unique le service de confiance qualifié;
• b) lorsque le service de confiance qualifié est fondé sur une technologie d’infrastructure à clé publique, au moins les éléments suivants:
  • l’identifiant de clé de l’objet (Subject Key identifier) tel que défini dans le RFC 5280 de l’IETF;
  • la représentation en Base64 PEM du certificat numérique X.509v3 associé;
  • le cas échéant, une mention indiquant si des ensembles ou sous-ensembles spécifiques de certificats d’entité finale délivrés par l’identité numérique du service ou dans le cadre de celle-ci sont exclus de la décision de certification ou expressément inclus dans cette décision et sur la base de quels critères ils peuvent être identifiés;
  • une mention indiquant si l’identité numérique du service concerne une entité finale ou une autorité de certification, précisant s’il s’agit d’un certificat émis, intermédiaire ou racine;
  • une description de la manière dont l’identité numérique du service est utilisée dans le cadre du service de confiance qualifié correspondant;

10) fournit, le cas échéant, une description détaillée de la hiérarchie fonctionnelle de l’infrastructure à clé publique, par type de service de confiance qualifié et pour toutes les identités numériques du service identifiées conformément au point 11, comprenant au moins:

• a) l’illustration de la hiérarchie des infrastructures à clé publique identifiant les autorités de certification racine, les autorités de certification intermédiaires, les autorités de certification émettrices et les chemins de certification qui les relient;
• b) l’identification de chaque autorité de certification illustrée au point a) au moyen de l’identifiant de la clé du sujet tel que défini dans le RFC 5280 de l’IETF;
• c) pour chacune des autorités de certification émettrices identifiées conformément au point b), la liste des différents ensembles de certificats que chaque autorité de certification délivre en fonction de ses politiques de certification, ainsi que, pour chacun de ces ensembles:
  • des critères qui identifient sans ambiguïté les certificats de l’ensemble, qui sont soit une liste d’identifiants de la politique de certification correspondant au contenu de l’extension concernant la politique de certification, telle que définie dans le RFC 5280 de l’IETF, soit d’autres critères définis dans les actes d’exécution adoptés en vertu de l’article 22, paragraphe 5, du règlement (UE) no910/2014,
  • une mention indiquant si les certificats de l’ensemble sont qualifiés ou non,
  • une mention indiquant si les certificats de l’ensemble sont destinés à des signatures électroniques, à des cachets électroniques, à une authentification de site internet ou à aucune de ces fins et, dans ce dernier cas, à quelles autres fins leur utilisation est prévue,
  • une mention indiquant si la clé privée correspondant à la clé publique certifiée dans les certificats des ensembles réside dans un dispositif de création de signature qualifiée ou de cachet qualifié local ou à distance;

11) comprend, conformément au point 2

• a) une liste exhaustive des tiers, y compris de sous-traitants, qui fournissent des composants de services de confiance qualifiés ou des composants de services, indiquant leur nom, tel que prévu au point 2, ainsi que l’emplacement des sites où les composants de services correspondants sont exploités;
• b) une mention indiquant si ces tiers et sites ont fait l’objet de l’évaluation de la conformité et dans quelle mesure;

12) décrit, le cas échéant, le contenu de l’inscription à ajouter ou à mettre à jour dans la liste de confiance nationale pertinente, en fonction du résultat de l’évaluation;

13) inclut une liste exhaustive des documents internes des prestataires de services de confiance publics et qualifiés, dûment identifiés, y compris les versions, qui ont été couverts par la portée de l’évaluation de la conformité, y compris au moins les documents suivants visés au point 8, pour lesquels une copie est soit fournie en même temps que le rapport d’évaluation de la conformité, soit mise à la disposition de l’organe de contrôle compétent à sa demande:

• a) la déclaration des pratiques utilisées par le prestataire de services de confiance qualifié pour fournir les services de confiance qualifiés;
• b) l’ensemble de règles indiquant l’applicabilité des services de confiance qualifiés à une communauté ou à une catégorie d’application particulière ayant des exigences communes en matière de sécurité («politiques en matière de services de confiance qualifiés»);
• c) les modalités et conditions relatives aux accords d’abonnés;
• d) le plan d’arrêt des services de confiance qualifiés;
• e) la documentation liée à l’évaluation des risques, qui vise à démontrer que les exigences de l’article 24, paragraphe 2, points f bis) et f ter), du règlement (UE) n°910/2014 et de l’article 21 de la directive (UE) 2022/2555 ont été respectées;
• f) le plan de notification des atteintes à la sécurité, qui vise à démontrer que les exigences de l’article 24, paragraphe 2, points f bis) et f ter), du règlement (UE) n°910/2014 et de l’article 21 de la directive (UE) 2022/2555 ont été respectées;
• g) la liste de tous les documents internes étayant la mise en oeuvre effective des pratiques déclarées et utilisées par le prestataire de services de confiance qualifié pour fournir les services de confiance qualifiés;
• h) l’acte constitutif et les statuts du prestataire de services de confiance qualifié, conformément au droit national applicable, ainsi que les éléments suivants:
  • une déclaration d’activités commerciales non liées à la fourniture de services de confiance,
  • un organigramme,
  • des informations sur la structure de propriété,
  • le cas échéant et s’il est disponible, le rapport du contrôleur des comptes de l’entreprise pour les deux exercices financiers précédents, ou de la date de la constitution de l’entreprise jusqu’à la date de signature du rapport d’évaluation de la conformité, la période la plus courte étant retenue;
• i) la preuve que le prestataire de services de confiance qualifié, conformément au droit national applicable, dispose de ressources financières suffisantes et, le cas échéant, a obtenu une assurance de responsabilité civile appropriée en ce qui concerne la fourniture des services de confiance qualifiés;
• j) la liste des normes auxquelles les opérations sont déclarées conformes;
• k) la liste des normes au regard desquelles les opérations sont auditées, évaluées, certifiées ou jugées conformes, ainsi que des détails sur le système d’audit, d’évaluation, de certification ou d’évaluation de conformité sous- jacent, selon le cas;
• l) la liste des dispositifs de création de signature électronique qualifiés ou des dispositifs de création de cachet électronique qualifiés et leurs informations relatives à la certification lorsque le prestataire de services de confiance qualifié fournit ces dispositifs à ses utilisateurs ou les met à leur disposition;
• m) la liste des dispositifs que le prestataire de services de confiance qualifié utilise en tant que système ou produit fiable, y compris les modules de sécurité matériels ou les dispositifs cryptographiques sécurisés, pour protéger ses propres clés, et les informations relatives à leur certification, lorsque le prestataire de services de confiance qualifié utilise ces dispositifs pour sécuriser les processus soutenant les services de confiance qualifiés qu’il fournit;

14) contient une évaluation du respect des exigences qui s’appliquent aux services de confiance qualifiés concernés en vertu du règlement (UE) n°910/2014 et, le cas échéant, telles qu’énoncées dans les actes d’exécution et les actes délégués qui s’appliquent à ce service de confiance qualifié, telles qu’adoptées conformément à:

• l’article 24, paragraphe 1 quater, du règlement (UE) n°910/2014 en ce qui concerne la vérification de l’identité et des attributs des personnes auxquelles le certificat qualifié ou l’attestation électronique qualifiée doit être délivré,
• l’article 24, paragraphe 5, du règlement (UE) n°910/2014 en ce qui concerne les exigences applicables aux prestataires de services de confiance qualifiés fournissant des services de confiance qualifiés,
• l’article 28, paragraphe 6, du règlement (UE) n°910/2014 en ce qui concerne la délivrance de certificats qualifiés de signature électronique,
• l’article 38, paragraphe 6, du règlement (UE) n°910/2014 en ce qui concerne la délivrance de certificats qualifiés de cachets électroniques,
• l’article 45, paragraphe 2, du règlement (UE) n°910/2014 en ce qui concerne la délivrance de certificats qualifiés d’authentification de site internet,
• l’article 33, paragraphe 2, du règlement (UE) n°910/2014 en ce qui concerne le service de validation qualifié des signatures électroniques qualifiées,
• l’article 33, paragraphe 2, et l’article 40 du règlement (UE) n°910/2014 en ce qui concerne le service de validation qualifié des cachets électroniques qualifiés,
• l’article 34, paragraphe 2, du règlement (UE) n°910/2014 en ce qui concerne le service qualifié de préservation des signatures électroniques qualifiées,
• l’article 34, paragraphe 2, et l’article 40 du règlement (UE) n°910/2014 en ce qui concerne le service qualifié de préservation des cachets électroniques qualifiés,
• l’article 42, paragraphe 2, du règlement (UE) n°910/2014 en ce qui concerne la création d’horodatages électroniques qualifiés,
• l’article 44, paragraphe 2, du règlement (UE) n°910/2014 en ce qui concerne la fourniture de services d’envoi recommandé électronique qualifiés,
• l’article 29 bis, paragraphe 2, du règlement (UE) n°910/2014 en ce qui concerne les services qualifiés de gestion de dispositifs de création de signature électronique qualifiés à distance,
• l’article 29 bis, paragraphe 2, et l’article 39 bisdu règlement (UE) n°910/2014 en ce qui concerne les services qualifiés de gestion de dispositifs de création de cachet électronique qualifiés à distance,
• l’article 45 undecies, paragraphe 2, du règlement (UE) n°910/2014 en ce qui concerne la fourniture de services d’archivage électronique qualifiés,
• l’article 45 quinquies, paragraphe 5, du règlement (UE) n°910/2014 en ce qui concerne la délivrance d’attestations électroniques qualifiées d’attributs,
• l’article 45 terdecies, paragraphe 3, du règlement (UE) n°910/2014 en ce qui concerne l’enregistrement de données électroniques dans un registre électronique qualifié;

15) contient une évaluation du respect des exigences applicables au prestataire de services de confiance qualifié et aux services de confiance qualifiés pertinents en vertu de l’article 21 de la directive (UE) 2022/2555 et des actes d’exécution qui s’appliquent à ce service de confiance qualifié, tels qu’adoptés conformément à l’article 21, paragraphe 5, de ladite directive;

16) contient une déclaration établissant, le cas échéant, l’absence de toute non-conformité, quel que soit son niveau de criticité; lorsqu’une non-conformité est constatée dans le rapport, celui-ci fournit un plan de mesures correctives et leur calendrier, communiqué par le prestataire de services de confiance qualifié et approuvé par l’organisme d’évaluation de la conformité, accompagné de la description des tâches d’évaluation que l’organisme d’évaluation de la conformité doit effectuer pour établir que ces non-conformités ont été corrigées;

17) contient, lorsque cela est approprié et nécessaire, une indication des possibilités d’amélioration en ce qui concerne le respect des exigences pertinentes par le prestataire de services de confiance qualifié et les services de confiance qualifiés qu’il fournit;

18) détermine, pour chaque étape de l’évaluation de la conformité, y compris l’audit documentaire, l’évaluation de la mise en oeuvre et les inspections sur place, la période au cours de laquelle l’évaluation a été réalisée et le temps pris par l’organisme d’évaluation de la conformité, exprimé en personnes-jours, pour procéder à l’évaluation;

19) indique, dans chaque rapport relatif à une exigence spécifique, les contrôles et objectifs détaillés de l’évaluation de la conformité qui ont été effectués au cours de l’évaluation ou inclut une référence aux rapports d’évaluation disponibles séparément dans lesquels figurent ces informations, pour autant que ces rapports d’évaluation distincts soient:

• a) délivrés par des organismes d’évaluation de la conformité accrédités conformément au règlement (UE) n°910/2014;
• b) avalisés par les organismes d’évaluation de la conformité délivrant le rapport d’évaluation de la conformité;

20) comprend la portée, la description et les résultats d’un ensemble significatif d’essais ou d’échantillons de production ainsi que leur évaluation pour tous les types pertinents et applicables de produits des services de confiance qualifiés évalués;

21) indique les délais suivants:

• a) le délai dans lequel la prochaine évaluation de la conformité de surveillance doit être effectuée;
• b) le délai dans lequel la prochaine évaluation de la conformité doit être effectuée conformément à l’article 20, paragraphe 1, du règlement (UE) n°910/2014;

22) contient une déclaration indiquant explicitement que les documents de certification, y compris le rapport d’évaluation de la conformité, sont également destinés à être utilisés par l’organe national de contrôle compétent.