Les États membres de l’UE ont discuté, mardi 5 avril, au sein du groupe de travail ‘Télécommunications’, du texte de compromis de la Présidence française du Conseil de l’UE (PFUE) sur l’établissement du cadre pour le portefeuille d’identification numérique au sein de l’UE (EUROPE 12901/15).
Plusieurs considérants et articles ont été ajoutés - ou réintégrés - dans la proposition de compromis de la PFUE portant principalement sur les prestataires de services de confiance.
Le texte insiste ainsi sur le fait que les prestataires de services de confiance pour les registres électroniques, où sont stockées les données, seraient tenus, outre de respecter le règlement sur l’identité numérique, de se conformer aux autres règles en vigueur, selon les secteurs concernés. À titre d’exemple, les cas d’utilisation impliquant le traitement de données personnelles devraient, entre autres, être conformes au texte relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Toujours au chapitre des services de confiance, le texte précise qu’il devrait revenir aux États membres de définir les sanctions applicables en cas de violation du règlement telle que des pratiques créant une confusion entre les services de confiance non qualifiés et qualifiés ou l'utilisation de la marque de confiance de l'UE par des prestataires de services de confiance non qualifiés.
La PFUE avance aussi le fait que le futur règlement fixant le cadre d’une identité numérique pour les citoyens, résidents et entreprises de l’UE devrait reposer sur un niveau harmonisé en termes de « qualité, de fiabilité et de sécurité » pour les services de confiance. Un prestataire de service de confiance externalisant l'une de ses opérations devrait donc fournir les garanties assurant que les activités de surveillance et les audits peuvent être appliqués comme si ces opérations étaient effectuées dans l’Union.
Enfin, les prestataires de services de confiance non qualifiés devraient prendre des dispositions pour « gérer les risques juridiques, commerciaux, opérationnels et autres risques directs ou indirects » par des mesures portant notamment sur le domaine des procédures d'enregistrement et d'embarquement dans un service, des contrôles procéduraux ou administratifs et de la gestion et la mise en œuvre des services. L’entité concernée devrait notifier à l’organe de contrôle compétent toute violation ou perturbation rencontrée liée à la mise en œuvre de ces mesures.
Du côté des prestataires qualifiés, l’organe de contrôle pourrait retirer le statut qualifié de ce prestataire - ou du service affecté qu'il fournit -, dans le cas où l’une des exigences prévues dans le règlement ne serait pas respectée.
Voir le document de compromis : https://aeur.eu/f/19y (Thomas Mangin)