5. Cybersécurité 
5.3. Sécurité informatique et de l'information
5.3. Sécurité informatique et de l'information
Règlement d'exécution (UE) 2025/2527 de la Commission du 16 décembre 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les normes de référence applicables aux certificats qualifiés d’authentification de site internet
| Date de signature : | 16/12/2025 | Statut du texte : | En vigueur |
| Date de publication : | 17/12/2025 | Emetteur : | |
| Consolidée le : | Source : | JOUE Série L du 17 décembre 2025 | |
| Date d'entrée en vigueur : | 06/01/2026 |
Règlement d'exécution (UE) 2025/2527 de la Commission du 16 décembre 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les normes de référence applicables aux certificats qualifiés d’authentification de site internet
LA COMMISSION EUROPÉENNE,
(1) Les certificats qualifiés d’authentification de site internet sont essentiels pour garantir la confiance et la transparence dans les interactions en ligne. Ils permettent d’authentifier un site internet et de relier ce site à la personne physique ou morale à laquelle le certificat est délivré. La Commission doit établir une liste de normes de référence applicables à ces certificats.
(2) Les normes de référence devraient permettre la mise en oeuvre de différents types de certificats qualifiés d’authentification de site internet pour différents cas d’utilisation, y compris leur utilisation au titre de la directive (UE) 2015/2366 du Parlement européen et du Conseil (2). Elles devraient tenir compte des pratiques établies et être largement reconnues dans les secteurs concernés. Afin de permettre l’innovation et de répondre à divers besoins techniques et opérationnels, les normes de référence devraient également prévoir la faculté de délivrer les certificats qualifiés d’authentification de site internet sous différentes formes, à savoir sous forme de certificats autonomes, de certificats liés à d’autres certificats, ou dans d’autres configurations répondant aux exigences du règlement (UE) n°910/2014. Cette flexibilité en ce qui concerne la délivrance de certificats qualifiés d’authentification de site internet ménage la possibilité d’adapter les certificats pour répondre aux besoins d’un large éventail de cas d’utilisation qui préservent la confiance et l’interopérabilité entre les États membres, sans porter atteinte à la liberté dont jouissent les fournisseurs de navigateurs internet pour assurer la sécurité du web, l’authentification de domaine et le chiffrement du trafic internet, de la manière et par les moyens technologiques qu’ils jugent les plus appropriés.
(3) Afin de garantir un délai suffisant pour l’audit des prestataires de services de confiance qualifiés en ce qui concerne le respect des exigences du présent règlement, celui-ci devrait s’appliquer à partir de 12 mois à compter de son entrée en vigueur.
(4) La Commission évalue régulièrement de nouvelles technologies, pratiques, normes ou spécifications techniques. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (3), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement, afin de le maintenir en adéquation avec les évolutions générales, les nouvelles technologies, les pratiques et les normes ou spécifications techniques et de suivre les meilleures pratiques sur le marché intérieur.
(5) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (4) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (5) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.
(6) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (6) et a rendu son avis le 21 octobre 2025 (7).
(7) Les mesures prévues par le présent règlement sont conformes à l'avis du comité établi par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Les normes de référence mentionnées à l’article 45, paragraphe 2, du règlement (UE) n°910/2014 figurent à l’annexe du présent règlement.
Article 2
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 6 janvier 2027.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 16 décembre 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(3) Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/ eli/reg/2024/1183/oj).
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(7) EDPS Formal comments on the draft Implementing Regulation laying down rules for the application of Regulation (EU) N°910/2014 as regards reference standards for qualified certificates for website authentication.
ANNEXE
Liste des normes de référence applicables aux certificats qualifiés d’authentification de site internet
1. Pour les certificats qualifiés d’authentification de site web qui sont délivrés en vue d’une utilisation dans l’authentification de sécurité de la couche «transport» en dehors du cadre d’un navigateur web:
LA COMMISSION EUROPÉENNE,
- vu le traité sur le fonctionnement de l’Union européenne,
- vu le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (1), et notamment son article 45, paragraphe 2,
(1) Les certificats qualifiés d’authentification de site internet sont essentiels pour garantir la confiance et la transparence dans les interactions en ligne. Ils permettent d’authentifier un site internet et de relier ce site à la personne physique ou morale à laquelle le certificat est délivré. La Commission doit établir une liste de normes de référence applicables à ces certificats.
(2) Les normes de référence devraient permettre la mise en oeuvre de différents types de certificats qualifiés d’authentification de site internet pour différents cas d’utilisation, y compris leur utilisation au titre de la directive (UE) 2015/2366 du Parlement européen et du Conseil (2). Elles devraient tenir compte des pratiques établies et être largement reconnues dans les secteurs concernés. Afin de permettre l’innovation et de répondre à divers besoins techniques et opérationnels, les normes de référence devraient également prévoir la faculté de délivrer les certificats qualifiés d’authentification de site internet sous différentes formes, à savoir sous forme de certificats autonomes, de certificats liés à d’autres certificats, ou dans d’autres configurations répondant aux exigences du règlement (UE) n°910/2014. Cette flexibilité en ce qui concerne la délivrance de certificats qualifiés d’authentification de site internet ménage la possibilité d’adapter les certificats pour répondre aux besoins d’un large éventail de cas d’utilisation qui préservent la confiance et l’interopérabilité entre les États membres, sans porter atteinte à la liberté dont jouissent les fournisseurs de navigateurs internet pour assurer la sécurité du web, l’authentification de domaine et le chiffrement du trafic internet, de la manière et par les moyens technologiques qu’ils jugent les plus appropriés.
(3) Afin de garantir un délai suffisant pour l’audit des prestataires de services de confiance qualifiés en ce qui concerne le respect des exigences du présent règlement, celui-ci devrait s’appliquer à partir de 12 mois à compter de son entrée en vigueur.
(4) La Commission évalue régulièrement de nouvelles technologies, pratiques, normes ou spécifications techniques. Conformément au considérant 75 du règlement (UE) 2024/1183 du Parlement européen et du Conseil (3), la Commission devrait réexaminer et, si besoin est, mettre à jour le présent règlement, afin de le maintenir en adéquation avec les évolutions générales, les nouvelles technologies, les pratiques et les normes ou spécifications techniques et de suivre les meilleures pratiques sur le marché intérieur.
(5) Le règlement (UE) 2016/679 du Parlement européen et du Conseil (4) et, le cas échéant, la directive 2002/58/CE du Parlement européen et du Conseil (5) s’appliquent à toutes les activités de traitement de données à caractère personnel au titre du présent règlement.
(6) Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (6) et a rendu son avis le 21 octobre 2025 (7).
(7) Les mesures prévues par le présent règlement sont conformes à l'avis du comité établi par l’article 48 du règlement (UE) n°910/2014,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
Article premier
Les normes de référence mentionnées à l’article 45, paragraphe 2, du règlement (UE) n°910/2014 figurent à l’annexe du présent règlement.
Article 2
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il est applicable à partir du 6 janvier 2027.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 16 décembre 2025.
Par la Commission
La présidente
Ursula VON DER LEYEN
(1) JO L 257 du 28.8.2014, p. 73, ELI: http://data.europa.eu/eli/reg/2014/910/oj.
(2) Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).
(3) Règlement (UE) 2024/1183 du Parlement européen et du Conseil du 11 avril 2024 modifiant le règlement (UE) n°910/2014 en ce qui concerne l’établissement du cadre européen relatif à une identité numérique (JO L, 2024/1183, 30.4.2024, ELI: http://data.europa.eu/ eli/reg/2024/1183/oj).
(4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(5) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj).
(6) Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n°45/2001 et la décision n°1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http:// data.europa.eu/eli/reg/2018/1725/oj).
(7) EDPS Formal comments on the draft Implementing Regulation laying down rules for the application of Regulation (EU) N°910/2014 as regards reference standards for qualified certificates for website authentication.
ANNEXE
Liste des normes de référence applicables aux certificats qualifiés d’authentification de site internet
1. Pour les certificats qualifiés d’authentification de site web qui sont délivrés en vue d’une utilisation dans l’authentification de sécurité de la couche «transport» en dehors du cadre d’un navigateur web:
- ETSI EN 319 411-2 V2.6.1 (2025-06); ces certificats sont délivrés conformément à la politique de certification QNCP-w-gen, à la politique de certification QEVCP-w ou à la politique de certification QNCP-w, telles que spécifiées dans ladite norme, ou
- ETSI TS 119 495 V1.7.1 (2024-07).
- ETSI TS 119 411-5 V2.1.1 (2025-02).