Règlement européen (UE) 2025/847 de la Commission du 6 mai 2025 portant modalités d’application du règlement (UE) n° 910/2014 du Parlement européen et du Conseil en ce qui concerne les réactions aux atteintes à la sécurité des portefeuilles européens d’identité numérique

JOUE Série L du 7 mai 2025

Le règlement n° 910/2014 du 23 juillet 2014 instaure le cadre européen relatif à une identité numérique. Il constitue un élément essentiel pour la mise en place d’un écosystème d’identité numérique sécurisé et interopérable dans l’ensemble de l’Union européenne. Pour ce faire, il place au cœur de son dispositif les portefeuilles européens d’identité numérique.
Précisément, il impose notamment aux États membres de fournir gratuitement des mécanismes de validation afin de
– veiller à ce que l’authenticité et la validité des portefeuilles européens d’identité numérique soient vérifiées ;
– permettre aux utilisateurs de vérifier l’authenticité et la validité de l’identité des parties utilisatrices enregistrées (§8 de l’article 5 bis).
Dans ce cadre, ce texte définit les règles applicables en ce qui concerne les réactions aux atteintes à la sécurité des portefeuilles, des mécanismes de validation précités et du schéma d’identification électronique dans le cadre duquel les portefeuilles sont fournis.
Il réglemente notamment :
– la constatation d’une atteinte à la sécurité ou d’une compromission. En particulier :
– les États membres doivent tenir compte des critères énoncés à l’annexe I afin d’évaluer si une atteinte à la sécurité ou une compromission d’une solution de portefeuille, des mécanismes de validation ou du schéma d’identification électronique dans le cadre duquel la solution de portefeuille est fournie affecte la fiabilité de ces dispositifs ;
– lorsqu’un État membre constate, sur la base de cette évaluation, qu’une atteinte à la sécurité ou une compromission affecte la fiabilité d’une solution de portefeuille et qu’il suspend la fourniture et l’utilisation de cette solution, il doit prendre certaines mesures listées par le texte ;
– la suspension de la fourniture et de l’utilisation de portefeuilles et autres mesures correctrices. En particulier :
– les États membres veillent à ce qu’aucune unité de portefeuille ne soit fournie, utilisée ou activée dans le cadre de la solution de portefeuille suspendue ;
– ils évaluent la nécessité de révoquer des attestations d’unité de portefeuille des unités de portefeuille concernées par la suspension d’une solution de portefeuille, ou de prendre toute autre mesure correctrice supplémentaire, pour réagir de manière adéquate à l’atteinte à la sécurité ou à la compromission ;
– les informations concernant les suspensions et les mesures correctrices. Ainsi, des informations concernant la suspension de la fourniture et de l’utilisation d’une solution de portefeuille sont fournies d’une manière claire, complète et facilement accessible, sans retard injustifié et au plus tard 24 heures après cette suspension :
– aux points de contact uniques des États membres désignés ;
– à la Commission ;
– aux utilisateurs de portefeuille affectés ;
– aux parties utilisatrices de portefeuille enregistrées.
Ces informations incluent notamment le nom du fournisseur de la solution de portefeuille dont la fourniture et l’utilisation ont été suspendues, la date et l’heure auxquelles l’atteinte à la sécurité ou la compromission a été détectée ;
– le rétablissement de la fourniture et de l’utilisation de portefeuilles ;
– les informations sur le rétablissement ;
– le retrait de portefeuilles. En particulier, s’il n’est pas remédié à une atteinte à la sécurité ou à une compromission ayant conduit à la suspension de la fourniture et de l’utilisation d’une solution de portefeuille dans un délai de trois mois à compter de la date de cette suspension, l’État membre qui fournit la solution affectée veille à ce qu’elle soit retirée et à ce que sa validité soit révoquée, sans retard injustifié et, en tout état de cause, dans les 72 heures suivant l’expiration du délai de trois mois.
Ces dispositions entrent en vigueur le 27 mai 2025 et sont directement applicables dans tout État membre, à l’exception de l’article 10 régissant le système d’information, qui est applicable à partir du 7 mai 2026. En vertu de cet article, les États membres transmettent certaines informations à la Commission et aux points de contact uniques des États membres désignés, par l’intermédiaire du CIRAS géré par l’ENISA, ou d’un système équivalent approuvé par les États membres et la Commission.