1.   Lorsqu’un prestataire de services de confiance qualifié délivre un certificat qualifié ou une attestation électronique d’attributs qualifiée, il vérifie l’identité et, s’il y a lieu, tous les attributs spécifiques de la personne physique ou morale à laquelle il délivre le certificat qualifié ou l’attestation électronique d’attributs qualifiée. 1 bis.  

Le prestataire de services de confiance qualifié procède, par des moyens appropriés, à la vérification de l’identité visée au paragraphe 1, soit directement, soit en ayant recours à un tiers, selon l’une des méthodes suivantes ou, lorsque cela est nécessaire, une combinaison de ces méthodes, conformément aux actes d’exécution visés au paragraphe 1 quater:

a) 

au moyen du portefeuille européen d’identité numérique ou d’un moyen d’identification électronique notifié qui satisfait aux exigences énoncées à l’article 8 en ce qui concerne le niveau de garantie élevé;

b) 

au moyen d’un certificat de signature électronique qualifiée ou de cachet électronique qualifié, délivré conformément au point a), c) ou d);

c) 

à l’aide d’autres méthodes d’identification qui garantissent l’identification d’une personne avec un degré de confiance élevé et dont la conformité est confirmée par un organisme d’évaluation de la conformité;

d) 

au moyen de la présence en personne de la personne physique ou d’un représentant autorisé de la personne morale, en recourant aux preuves et procédures appropriées, conformément au droit national.

1 ter.  

Le prestataire de services de confiance qualifié procède, par des moyens appropriés, à la vérification des attributs visés au paragraphe 1, soit directement, soit en ayant recours à un tiers, selon l’une des méthodes suivantes ou, lorsque cela est nécessaire, une combinaison de ces méthodes, conformément aux actes d’exécution visés au paragraphe 1 quater:

a) 

au moyen du portefeuille européen d’identité numérique ou d’un moyen d’identification électronique notifié qui satisfait aux exigences énoncées à l’article 8 en ce qui concerne le niveau de garantie élevé;

b) 

au moyen d’un certificat de signature électronique qualifiée ou de cachet électronique qualifié, délivré conformément au paragraphe 1 bis, point a), c) ou d);

c) 

au moyen d’une attestation électronique d’attributs qualifiée;

d) 

à l’aide d’autres méthodes qui garantissent une vérification des attributs avec un degré de confiance élevé et dont la conformité est confirmée par un organisme d’évaluation de la conformité;

e) 

au moyen de la présence en personne de la personne physique ou d’un représentant autorisé de la personne morale, en recourant aux preuves et procédures appropriées, conformément au droit national.

1 quater.   Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables à la vérification de l’identité et des attributs conformément aux paragraphes 1, 1 bis et 1 ter, du présent article. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2. 2.  

Un prestataire de services de confiance qualifié qui fournit des services de confiance qualifiés:

a) 

informe l’organe de contrôle au moins un mois avant la mise en œuvre de toute modification dans la fourniture de ses services de confiance qualifiés, ou au moins trois mois à l’avance s’il compte cesser ces activités;

b) 

emploie du personnel et, le cas échéant, des sous-traitants qui possèdent l’expertise, la fiabilité, l’expérience et les qualifications nécessaires, qui ont reçu une formation appropriée en ce qui concerne les règles en matière de sécurité et de protection des données à caractère personnel et appliquent des procédures administratives et de gestion correspondant à des normes européennes ou internationales;

c) 

en ce qui concerne le risque de responsabilité pour dommages conformément à l’article 13, maintient des ressources financières suffisantes et/ou contracte une assurance responsabilité appropriée, conformément au droit national;

d) 

avant d’établir une relation contractuelle, informe, de manière claire, exhaustive et aisément accessible, dans un espace accessible au public et de manière individuelle, toute personne désireuse d’utiliser un service de confiance qualifié des conditions précises relatives à l’utilisation de ce service, y compris toute limite quant à son utilisation;

e) 

utilise des systèmes et des produits fiables qui sont protégés contre les modifications et assure la sécurité technique et la fiabilité des processus qu’ils prennent en charge, y compris en ayant recours à des techniques cryptographiques appropriées;

f) 

utilise des systèmes fiables pour stocker les données qui lui sont fournies, sous une forme vérifiable de manière que:

i) 

les données ne soient publiquement disponibles pour des traitements qu’après avoir obtenu le consentement de la personne concernée par ces données;

ii) 

seules des personnes autorisées puissent introduire des données et modifier les données conservées;

iii) 

l’authenticité des données puisse être vérifiée.

f bis) 

nonobstant l’article 21 de la directive (UE) 2022/2555, se dote des procédures appropriées et prend les mesures correspondantes pour gérer les risques juridiques, commerciaux et opérationnels ainsi que les autres risques directs ou indirects liés à la fourniture du service de confiance qualifié, y compris, au moins, des mesures ayant trait:

i) 

aux procédures d’enregistrement et d’enrôlement pour un service;

ii) 

aux vérifications procédurales ou administratives;

iii) 

à la gestion et à la mise en œuvre des services.

f ter) 

notifie à l’organe de contrôle, aux personnes affectées identifiables, à d’autres organismes compétents concernés le cas échéant et, à la demande de l’organe de contrôle, au public si cela est dans l’intérêt public, toute atteinte à la sécurité ou perturbation dans la fourniture du service ou la mise en œuvre des mesures visées au point f bis), i), ii) ou iii), ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées, dans les meilleurs délais et en tout état de cause dans les vingt-quatre heures à compter de l’incident;

g) 

prend des mesures appropriées contre la falsification, le vol ou le détournement de données ou le fait d’effacer, de modifier ou de rendre inaccessibles des données sans en avoir le droit;

h) 

enregistre et maintient accessibles aussi longtemps que nécessaire après que les activités du prestataire de services de confiance qualifié ont cessé, toutes les informations pertinentes concernant les données délivrées et reçues par le prestataire de services de confiance qualifié, aux fins de pouvoir fournir des preuves en justice et aux fins d’assurer la continuité du service. Ces enregistrements peuvent être effectués par voie électronique;

i) 

a un plan actualisé d’arrêt d’activité afin d’assurer la continuité du service conformément à des dispositions qui sont vérifiées par l’organe de contrôle en vertu de l’article 46 ter, paragraphe 4, point i);

k) 

au cas où le prestataire de services de confiance qualifié délivre des certificats qualifiés, établit et tient à jour une base de données relative aux certificats.

L’organe de contrôle peut demander des informations en plus de celles notifiées conformément au point a) du premier alinéa ou le résultat d’une évaluation de la conformité, et peut assortir de conditions l’octroi de l’autorisation de mettre en œuvre les modifications qu’il est envisagé d’apporter aux services de confiance qualifiés. Si la vérification n’est pas terminée dans un délai de trois mois à compter de la notification, l’organe de contrôle en informe le prestataire de services de confiance en précisant les raisons du retard et le délai nécessaire pour terminer la vérification.

3.   Lorsqu’un prestataire de services de confiance qualifié qui délivre des certificats qualifiés décide de révoquer un certificat, il enregistre cette révocation dans sa base de données relative aux certificats et publie le statut de révocation du certificat en temps utile, et en tout état de cause dans les vingt-quatre heures suivant la réception de la demande. Cette révocation devient effective immédiatement dès sa publication. 4.   En ce qui concerne le paragraphe 3, les prestataires de services de confiance qualifiés qui délivrent des certificats qualifiés fournissent à toute partie utilisatrice des informations sur la validité ou le statut de révocation des certificats qualifiés qu’ils ont délivrés. Ces informations sont disponibles, au moins par certificat, à tout moment et au-delà de la période de validité du certificat, sous une forme automatisée qui est fiable, gratuite et efficace. 4 bis.   Les paragraphes 3 et 4 s’appliquent en conséquence à la révocation des attestations électroniques d’attributs qualifiées. 4 ter.   La Commission est habilitée à adopter des actes délégués conformément à l’article 47, établissant les mesures supplémentaires visées au paragraphe 2, point f bis), du présent article. 5.   Au plus tard le 21 mai 2025, la Commission établit, au moyen d’actes d’exécution, une liste de normes de référence et, au besoin, les spécifications et les procédures applicables aux exigences visées au paragraphe 2 du présent article. Le respect des exigences fixées au présent paragraphe est présumé lorsque ces normes, spécifications et procédures sont respectées. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 48, paragraphe 2.