Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL[1] – COM(2012) 238 – sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur - L’aveu d’une lacune dans les échanges électroniques et les transactions au sein de l’UE
Le cadre juridique proposé consiste en un règlement du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. Ce règlement vise à permettre des interactions électroniques sûres et sans discontinuité entre les entreprises, les particuliers et les pouvoirs publics et à accroître ainsi l’efficacité des services en ligne publics et privés et du commerce électronique dans l’UE.
Ce projet prévoit aussi l’instauration d’un cachet qualifié et d’un horodatage qualifié sur le modèle de la signature qualifiée c’est à dire qu’il y aura présomption de fiabilité si ces mécanismes « qualifiés » sont utilisés (c’est à l’attaquant de prouver que la signature/cachet/horodatage n’est pas fiable).
La législation de l’UE existant en la matière, à savoir la directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques, ne couvre, comme son nom l’indique, que les signatures électroniques. « L’UE ne dispose encore d’aucun cadre transnational et intersectoriel complet pour des transactions électroniques sûres, fiables et aisées, qui recouvre l’identification, l’authentification et les signatures électroniques ».
Le but est donc d’étoffer la législation actuelle et de l’étendre à la reconnaissance et à l’acceptation mutuelles, au niveau de l’UE, des systèmes d’identification électronique notifiés et des principaux autres services de confiance électroniques qui y sont associés.
I – De l’utilité d’un tel règlement
La reconnaissance mutuelle des moyens d’identification électronique et la large acceptation des signatures électroniques ont pour finalité la fourniture transnationale de nombreux services dans le marché intérieur et « permettront aux entreprises d’étendre leurs activités à l’étranger sans rencontrer d’obstacle dans leurs relations avec les pouvoirs publics ».
S’agissant d’effectuer des formalités administratives, cela signifiera, dans la pratique, des gains d’efficacité importants pour les entreprises comme pour les particuliers.
- Par exemple : il sera possible à un étudiant de s’inscrire par voie électronique dans une université à l’étranger, à un contribuable de remettre à un autre État membre une déclaration d’impôts en ligne ou à un patient d’accéder à son dossier médical en ligne. Sans reconnaissance mutuelle des moyens d’identification électronique, un médecin ne peut pas avoir accès aux informations dont il a besoin pour soigner un patient et il faut que ce dernier refasse les examens et analyses qu’il a déjà effectués.
Le texte de la proposition ne contient malheureusement pas d’exemple concret concernant l’aide à l’activité transnationale et intracommunautaire des entreprises.
II – D’une nécessaire harmonisation
L’article 5 du règlement prévoit la reconnaissance et l’acceptation mutuelles des moyens d’identification électronique relevant d’un système qui sera notifié à la Commission selon les conditions fixées dans le règlement. En effet, « la plupart des États membres ont adopté un type de système d’identification électronique, mais ces systèmes diffèrent sur de nombreux points ».
L’absence de base juridique commune imposant à chaque État membre de reconnaître et d’accepter les moyens d’identification électronique délivrés dans d’autres États membres pour accéder à des services en ligne, ainsi que l’insuffisante interopérabilité transnationale des identifications électroniques nationales constituent des obstacles qui empêchent les particuliers et les entreprises de profiter pleinement du marché unique du numérique.
La reconnaissance et l’acceptation mutuelles de tout moyen d’identification électronique relevant d’un système notifié en vertu du présent règlement permettent de lever ces obstacles juridiques.
« Le règlement ne fait cependant pas obligation aux États membres de mettre en place ou de notifier des systèmes d’identification électronique, mais de reconnaître et d’accepter les identifications électroniques notifiées pour les services en ligne dont l’accès au niveau national exige une telle identification.é
En l’état actuel de l’avancée des travaux, il est intéressant de se pencher sur deux articles majeurs, le 6ème et le 7ème :
L’article 6 définit les cinq conditions auxquelles serait soumise la notification des systèmes d’identification électronique :
1. Les systèmes d’identification électronique sont susceptibles de notification conformément à l’article 7 si toutes les conditions suivantes sont remplies:
- Les moyens d’identification électronique sont délivrés par l’État membre notifiant ou en son nom ou sous sa responsabilité;
- Les moyens d’identification électronique peuvent être utilisés pour accéder au moins aux services publics exigeant l’identification électronique dans l’État membre notifiant
- L’Etat membre notifiant veille à ce que les données d’identification de la personne soient attribuées sans ambiguïté à la personne physique ou morale visée à l’article 3, point 1;
- L’État membre notifiant veille à ce qu’une possibilité d’authentification en ligne soit disponible à tout moment et gratuitement afin de permettre aux parties utilisatrices de valider les données d’identification personnelle reçues sous forme électronique. Les États membres n’imposent aucune exigence technique spécifique aux parties utilisatrices établies en dehors de leur territoire, qui envisagent de procéder à cette authentification. Lorsque le système d’identification notifié ou la possibilité d’authentification sont violés ou partiellement compromis, les États membres suspendent ou révoquent immédiatement le système d’identification notifié ou la possibilité d’authentification ou les éléments compromis en cause et en informent les autres États membres et la Commission conformément à l’article 7;
- L’État membre notifiant est responsable:
– De l’attribution univoque des données d’identification personnelle visées au point c);
– Et de la possibilité d’authentification indiquée au point d).
- Les États membres peuvent notifier les systèmes d’identification électronique qu’ils acceptent sous leur juridiction lorsqu’une identification électronique est exigée pour accéder à des services publics. Une exigence supplémentaire impose que le moyen d’identification électronique respectif soit délivré par l’État membre notifiant le système, en son nom ou, au moins, sous sa responsabilité.
L’article 7 contient les règles de notification des systèmes d’identification électronique à la Commission
1. Les États membres qui notifient un système d’identification électronique transmettent les informations suivantes à la Commission et lui communiquent toute modification ultérieure dans les meilleurs délais:
- description du système d’identification électronique notifié;
- autorités responsables du système d’identification électronique notifié;
- indication des personnes chargées de gérer l’enregistrement des identifiants personnels univoques;
- description de la possibilité d’authentification;
- dispositions concernant la suspension ou la révocation du système d’identification notifié, de la possibilité d’authentification ou des parties compromises en cause.
2. Six mois après l’entrée en vigueur du règlement, la Commission publie au Journal officiel de l’Union européenne la liste des systèmes d’identification électronique qui ont été notifiés conformément au paragraphe 1, ainsi que les informations essentielles à leur sujet.
3. Si la Commission reçoit une notification après expiration du délai visé au paragraphe 2, elle modifie la liste dans les trois mois qui suivent.
4. La Commission peut définir, au moyen d’actes d’exécution, les circonstances, les formats et procédures de la notification visée aux paragraphes 1 et 3. Ces actes d’exécution sont adoptés conformément à la procédure d’examen visée à l’article 39, paragraphe 2.
Les intentions sont louables et nécessaires. Reste au règlement à être adopté.
III – Détails de la proposition[2]
CHAPITRE I – DISPOSITIONS GÉNÉRALES
L’article 1 définit l’objet du règlement ;
L’article 2 définit le champ d’application matériel du règlement ;
L’article 3 définit les termes employés dans le règlement ;
L’article 4 définit les principes du marché intérieur en ce qui concerne l’application territoriale du règlement.
CHAPITRE II – IDENTIFICATION ÉLECTRONIQUE
L’article 5 prévoit la reconnaissance et l’acceptation mutuelles des moyens d’identification électronique relevant d’un système qui sera notifié à la Commission selon les conditions fixées dans le règlement ;
L’article 6 définit les cinq conditions auxquelles est soumise la notification des systèmes d’identification électronique ;
L’article 7 contient les règles de notification des systèmes d’identification électronique à la Commission ;
L’article 8 vise à assurer l’interopérabilité technique des systèmes d’identification notifiés, selon une approche de coordination ainsi que des actes délégués .
CHAPITRE III – SERVICES DE CONFIANCE
Section 1 – Dispositions générales
L’article 9 pose les principes relatifs à la responsabilité des prestataires de services de confiance qualifiés et non qualifiés ;
L’article 10 décrit le mécanisme de reconnaissance et d’acceptation des services de confiance qualifiés fournis par un prestataire établi dans un pays tiers ;
L’article 11 pose les principes de la protection et de la limitation des données utilisées ;
L’article 12 dispose que les services de confiance sont accessibles aux personnes handicapées.
Section 2 – Contrôle
L’article 13 fait obligation aux États membres de mettre en place des organes de contrôle ;
L’article 14 instaure un mécanisme spécifique d’assistance mutuelle entre les organes de contrôle dans les États membres ;
L’article 15 instaure l’obligation, pour les prestataires de services de confiance qualifiés et non qualifiés, d’appliquer les mesures techniques et organisationnelles appropriées afin de garantir la sécurité de leurs activités ;
L’article 16 définit les conditions du contrôle des prestataires de services de confiance qualifiés et des services de confiance qualifiés qu’ils fournissent ;
L’article 17 concerne l’activité exercée par l’organe de contrôle à la demande d’un prestataire de service de confiance en vue de fournir un service de confiance qualifié ;
L’article 18 prévoit l’établissement de listes de confiance contenant des informations sur les prestataires de services de confiance qualifiés soumis à contrôle et sur les services qualifiés qu’ils offrent ;
L’article 19 définit les exigences auxquelles les prestataires de services de confiance qualifiés doivent satisfaire afin d’être reconnus comme tels.
Section 3 – Signature électronique
L’article 20 consacre les règles relatives à l’effet juridique des signatures électroniques des personnes physiques ;
L’article 21 définit les exigences applicables aux certificats de signature qualifiés ;
L’article 22 définit les exigences applicables aux dispositifs de création de signature électronique qualifiés ;
L’article 23 introduit le concept de certification des dispositifs de création de signature électronique qualifiés afin de déterminer leur conformité aux exigences de sécurité ;
L’article 24 concerne la publication, par la Commission, d’une liste de dispositifs de création de signature électronique qualifiés, après notification de leur conformité par les États membres ;
L’article 25 repose sur les recommandations, figurant à l’annexe IV de la directive 1999/93/CE, de soumettre la validation des signatures électroniques qualifiées à des exigences contraignantes en vue d’accroître la sécurité juridique de cette validation ;
L’article 26 définit les conditions applicables aux services de validation qualifiés ;
L’article 27 définit les conditions de conservation à long terme des signatures électroniques qualifiées.
Section 4 – Cachets électroniques
L’article 28 concerne l’effet juridique des cachets électroniques des personnes morales ;
L’article 29 définit les exigences applicables aux certificats qualifiés de cachet électronique ;
L’article 30 définit les exigences applicables à la certification et à la publication d’une liste des dispositifs de création de cachet électronique qualifiés ;
L’article 31 définit les conditions de validation et de conservation des cachets électroniques qualifiés.
Section 5 – Horodatage électronique
L’article 32 concerne l’effet juridique des horodatages électroniques ;
L’article 33 définit les exigences applicables aux horodatages électroniques qualifiés.
Section 6 – Documents électroniques
L’article 34 traite des effets juridiques et des conditions d’acceptation des documents électroniques.
Section 7 – Services de fourniture électronique
L’article 35 concerne l’effet juridique des données envoyées ou reçues à l’aide d’un service de fourniture électronique ;
L’article 36 définit les exigences applicables aux services de fourniture électronique qualifiés.
Section 8 – Authentification de site Web
L’article 37 définit les exigences applicables aux certificats qualifiés d’authentification de site Web.
CHAPITRE IV – ACTES DÉLÉGUÉS
L’article 38 contient les dispositions types applicables à l’exercice de la délégation, conformément à l’article 290 du TFUE (actes délégués).
CHAPITRE V – ACTES D’EXÉCUTION
L’article 39 contient la disposition relative à la procédure de comité nécessaire pour conférer des compétences d’exécution à la Commission dans les cas où, conformément à l’article 291 du TFUE, il est nécessaire de prévoir des conditions uniformes d’exécution d’actes de l’Union juridiquement contraignants. La procédure d’examen s’applique.
CHAPITRE VI – DISPOSITIONS FINALES
L’article 40 fait obligation à la Commission d’évaluer le règlement et de présenter ses conclusions ;
L’article 41 abroge la directive 1999/93/CE et consacre la transition harmonieuse entre l’infrastructure de signature électronique existante et les nouvelles exigences du règlement ;
L’article 42 fixe la date d’entrée en vigueur du règlement.
[1] RAPPEL : Le règlement est un acte juridique européen. De portée générale, il est obligatoire dans toutes ses dispositions : les États membres sont tenus de les appliquer telles qu’elles sont définies par le règlement. Le règlement est donc directement applicable dans l’ordre juridique des États membres. Seules les mesures prévues par le règlement peuvent être prises par les autorités des États membres.
Il s’impose à tous les sujets de droit : particuliers, États, institutions. Ceci le différencie de la décision, autre acte européen obligatoire dans toutes ses dispositions, mais seulement pour les destinataires qu’il désigne.
Il existe deux types de règlements :
• ceux adoptés sur proposition de la Commission par le Conseil de l’Union européenne (Conseil des ministres) seul ou avec le Parlement européen ;
• ceux adoptés par la Commission, en tant que pouvoir propre ou en exécution des décisions du Conseil de l’Union européenne.
La publication des règlements au Journal officiel de l’Union européenne est obligatoire. Elle s’effectue dans la rubrique « Actes dont la publication est une condition de leur applicabilité ». La non-publication n’entraîne pas l’illégalité du règlement mais exclut son effet obligatoire. Les règlements entrent en vigueur à la date qu’ils fixent ou, à défaut, le 20e jour suivant leur publication.(Source : http://www.vie-publique.fr/decouverte-institutions/union-europeenne/action/textes-juridiques/qu-est-ce-qu-reglement.html)
[2] L’ensemble de la proposition est consultable à l’adresse : http://ec.europa.eu/information_society/policy/esignature/docs/regulation/com_2012_238_fr.pdf