🟦 Décret du 15 juillet 2022 fixant les modalités de certification de moyens d’identification électronique ainsi que le cahier des charges permettant d’établir la présomption de fiabilité de ces moyens

Références

NOR : PRMD2210493D
ELI : https://www.legifrance.gouv.fr/eli/decret/2022/7/15/PRMD2210493D/jo/texte
Alias : https://www.legifrance.gouv.fr/eli/decret/2022/7/15/2022-1004/jo/texte
Source : JORF n°0163 du 16 juillet 2022, texte n° 1
Avis CNIL : JORF n°0163 du 16 juillet 2022, texte n° 72

Informations

Publics concernés : particuliers, professionnels, administrations.

Objet : certification de moyens d’identification électronique et cahier des charges permettant d’établir la présomption de fiabilité de ces moyens.

Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : l’article L. 102 du code des postes et des communications électroniques dispose que la preuve de l’identité aux fins d’accéder à un service de communication en ligne peut être apportée par un moyen d’identification électronique ; il prévoit que ce dernier est présumé fiable jusqu’à preuve du contraire lorsqu’il répond aux prescriptions du cahier des charges établi par l’autorité nationale de sécurité des systèmes d’information. Le décret fixe le contenu de ce cahier des charges, le niveau de fiabilité exigé du moyen d’identification électronique aux fins de bénéficier de la présomption de fiabilité, ainsi que les modalités de la certification des moyens d’identification électronique mentionnée à l’article précité.

Références : le décret et les textes qu’il modifie peuvent être consultés, dans leur rédaction issue de ces modifications, sur le site Légifrance (https://www.legifrance.gouv.fr).

En-tête

La Première ministre,
Vu le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le règlement (UE) 2017/1954 du Parlement européen et du Conseil du 25 octobre 2017 modifiant le règlement (CE) n° 1030/2002 du Conseil établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers ;
Vu le règlement (UE) 2019/1806 du 14 novembre 2018 fixant la liste des pays tiers dont les ressortissants sont soumis à l’obligation de visa pour franchir les frontières extérieures des Etats membres et la liste de ceux dont les ressortissants sont exemptés de cette obligation ;
Vu le règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique visés à l’article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ;
Vu la directive 2011/95/UE du Parlement européen et du Conseil du 13 décembre 2011 concernant les normes relatives aux conditions que doivent remplir les ressortissants des pays tiers ou les apatrides pour pouvoir bénéficier d’une protection internationale, à un statut uniforme pour les réfugiés ou les personnes pouvant bénéficier de la protection subsidiaire, et au contenu de cette protection ;
Vu la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information ;
Vu le code des postes et des communications électroniques, notamment son article L. 102 ;
Vu le code des relations entre le public et l’administration, notamment ses articles L. 112-11, L. 231-4 et L. 231-6 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2008-1401 du 19 décembre 2008 relatif à l’accréditation et à l’évaluation de conformité pris en application de l’article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie ;
Vu le décret n° 2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information » ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l’avis n° 2022-027 en date du 3 mars 2022 de la Commission nationale de l’informatique et des libertés ;
Vu la notification n° 2021/659/F adressée à la Commission européenne le 13 octobre 2021 en application de la directive (UE) 2015/1535 ;
Vu la consultation du public réalisée du 26 octobre au 30 novembre 2021, en application du V de l’article L. 32-1 du code des postes et des communications électroniques ;
Le Conseil d’Etat (section des travaux publics) entendu,
Décrète :

Chapitre Ier : Dispositions modifiant le code des postes et des communications Électroniques

Article 1

Au chapitre II du titre Ier du livre III de la partie règlementaire (décrets en Conseil d’Etat) du code des postes et des communications électroniques, sont insérées trois sections ainsi rédigées :

« Section 1
« Définitions et présentation des principes de la certification

« Art. R. 54-1. – Les termes employés au présent chapitre répondent aux définitions suivantes :
« 1° “Demandeur” : personne physique demandant un moyen d’identification électronique et dont l’identité doit être vérifiée ;
« 2° “Utilisateur” : personne physique qui, pour s’identifier auprès d’un service numérique, utilise un moyen d’identification électronique ;
« 3° “Fournisseur de moyen d’identification électronique” : personne morale, publique ou privée, délivrant au demandeur le moyen d’identification électronique ;
« 4° “Source faisant autorité” : sont reconnus comme sources faisant autorité pour la preuve et la vérification d’identité des personnes physiques lors de la délivrance d’un moyen d’identification électronique :
« a) Pour les Français, les ressortissants des autres Etats membres de l’Union européenne, d’un Etat partie à l’accord sur l’Espace économique européen ou de la Suisse, le passeport ou la carte nationale d’identité ;
« b) Pour les ressortissants de pays tiers résidant en France ou dans un autre Etat membre de l’Union européenne, dans un Etat partie à l’accord sur l’Espace économique européen ou en Suisse, le titre de séjour, établi selon le modèle prévu par le règlement (UE) n° 2017/1954 du Parlement européen et du Conseil du 25 octobre 2017 modifiant le règlement (CE) n° 1030/2002 du Conseil établissant un modèle uniforme de titre de séjour pour les ressortissants de pays tiers, délivré par l’Etat de résidence ;
« c) Pour les ressortissants de pays tiers dispensés de l’obligation de visa de court séjour ne résidant pas sur le territoire de l’Union européenne, dans un Etat partie à l’accord sur l’Espace économique européen ou en Suisse, le passeport, sous réserve que le pays émetteur mette à disposition les moyens nécessaires à la vérification de la validité du titre. Si la dispense de l’obligation de visa est assortie de l’obligation de disposer d’un passeport électronique, seul le passeport biométrique est reconnu comme source faisant autorité pour le pays concerné ;
« d) Pour les ressortissants de pays tiers réfugiés ou reconnus apatrides ou bénéficiaires de la protection prévue par la directive 2011/95/UE du Parlement européen et du Conseil du 13 décembre 2011 concernant les normes relatives aux conditions que doivent remplir les ressortissants des pays tiers ou les apatrides pour pouvoir bénéficier d’une protection internationale, à un statut uniforme pour les réfugiés ou les personnes pouvant bénéficier de la protection subsidiaire, et au contenu de cette protection, le passeport est remplacé par le titre de voyage délivré par l’Etat qui a reconnu la qualité de réfugié ou d’apatride ou accordé la protection.
« Ces sources faisant autorité sont considérées comme valides pour la mise en œuvre du présent décret si elles n’ont pas atteint leur date de fin de validité et n’ont pas fait l’objet d’une invalidation.

« Art. R. 54-2. – Un référentiel d’exigences, établi par l’Agence nationale de la sécurité des systèmes d’information, définit les exigences de sécurité pour les moyens d’identification électronique visant le niveau de garantie faible, substantiel ou élevé. Ce référentiel d’exigences est intitulé “Référentiel d’exigences de sécurité pour les moyens d’identification électronique”.
« Ce référentiel d’exigences est publié sur le site de l’Agence nationale de la sécurité des systèmes d’information. Toute modification ultérieure entre en vigueur trois mois après sa publication.

« Art. R. 54-3. – La certification mentionnée au III de l’article L. 102 atteste de la conformité d’un moyen d’identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27. La décision de certification est délivrée par l’Agence nationale de la sécurité des systèmes d’information.
« La certification mentionnée au IV de l’article L. 102 atteste de la conformité d’un moyen d’identification électronique au référentiel mentionné à l’article R. 54-2 pour le niveau de garantie choisi. La décision de certification est délivrée par l’Agence nationale de la sécurité des systèmes d’information.
« Ces certifications sont réalisées dans les conditions prévues aux articles R. 54-5 à R. 54-15.

« Art. R. 54-4. – Les certifications de moyens d’identification électronique mentionnées à l’article R. 54-3 s’appuient sur une évaluation de la conformité effectuée par un centre d’évaluation choisi par le fournisseur de moyen d’identification électronique parmi :
« 1° Les prestataires d’audit de la sécurité des systèmes d’information qualifiés au titre du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
« 2° Les organismes disposant d’une accréditation pour la certification de systèmes de management de la sécurité de l’information délivrée par l’instance nationale d’accréditation mentionnée à l’article 1er du décret n° 2008-1401 du 19 décembre 2008 relatif à l’accréditation et à l’évaluation de conformité pris en application de l’article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie.
« La liste actualisée des centres d’évaluation mentionnés aux 1° et 2° est publiée sur le site internet de l’Agence nationale de la sécurité des systèmes d’information.

« Section 2
« Procédure de certification

« Art. R. 54-5. – La demande de certification, adressée à l’Agence nationale de la sécurité des systèmes d’information par le fournisseur de moyen d’identification électronique, comprend les documents suivants :
« 1° Le formulaire de demande de certification complété et signé ;
« 2° Une présentation générale du fournisseur de moyen d’identification électronique ;
« 3° Une présentation technique du moyen d’identification électronique candidat à la certification ;
« 4° Un extrait du registre du commerce et des sociétés ou, à défaut, un extrait d’un autre registre pertinent, d’un document équivalent délivré par l’autorité judiciaire ou administrative compétente du pays d’origine ou d’établissement du fournisseur de moyen d’identification électronique ;
« 5° Une liste des tiers (sous-traitants, fournisseurs et prestataires) intervenant dans la conception, la mise en œuvre ou l’exploitation du moyen d’identification électronique ;
« 6° L’engagement du fournisseur du moyen d’identification électronique complété et signé à respecter les exigences définies par le processus de certification et par le référentiel d’exigences mentionné à l’article R. 54-2 ou le cahier des charges défini aux articles R. 54-16 à R. 54-27 ;
« 7° Un acte de délégation de pouvoir au signataire de l’engagement du fournisseur du moyen d’identification électronique.
« Lors du renouvellement de la certification du moyen d’identification électronique, la demande comprend, en plus des documents mentionnés du 1° au 7° du présent article, une analyse d’impact sur la sécurité de toutes les modifications, quelle que soit leur nature, intervenues entre la version du moyen d’identification électronique précédemment certifiée et la version objet de la demande.

« Art. R. 54-6. – L’Agence nationale de la sécurité des systèmes d’information accuse réception de toute demande de certification de moyen d’identification électronique dans les conditions prévues à l’article L. 112-11 du code des relations entre le public et l’administration.
« Lorsque le dossier de demande de certification qui lui est transmis n’est pas complet, l’Agence nationale de la sécurité des systèmes d’information demande, par courrier ou courrier électronique, au fournisseur de moyen d’identification électronique la fourniture des pièces manquantes dans un délai qu’elle fixe. Au terme de ce délai, si les pièces manquantes n’ont pas été fournies, l’agence informe le fournisseur de moyen d’identification électronique de la clôture de sa demande de certification.
« Lorsque le dossier de demande de certification est complet, l’Agence nationale de la sécurité des systèmes d’information convient avec le fournisseur de moyen d’identification électronique d’une stratégie d’évaluation du moyen d’identification électronique.
« Dès qu’elle a validé cette stratégie, l’Agence nationale de la sécurité des systèmes d’information invite le fournisseur à faire évaluer son moyen d’identification électronique par un centre d’évaluation choisi parmi ceux mentionnés au 1° ou au 2° de l’article R. 54-4.

« Art. R. 54-7. – Le fournisseur de moyen d’identification électronique détermine avec le centre d’évaluation choisi, conformément à la stratégie d’évaluation mentionnée à l’article R. 54-6 :
« 1° Le périmètre du service à évaluer et le type de certification visé ;
« 2° Les conditions d’accès du centre d’évaluation à ses locaux, à son personnel et à ses moyens techniques ;
« 3° Les conditions de protection des informations traitées dans le cadre de l’évaluation ;
« 4° Le programme de travail du centre d’évaluation.

« Art. R. 54-8. – Le moyen d’identification électronique est évalué sur pièces et sur place selon le programme de travail, mentionné à l’article R. 54-6, par le centre d’évaluation et, le cas échéant, par l’Agence nationale de la sécurité des systèmes d’information.
« Le fournisseur de moyen d’identification électronique met à la disposition de l’Agence nationale de la sécurité des systèmes d’information et du centre d’évaluation tous les documents nécessaires à l’évaluation. Il leur permet d’accéder à ses locaux et ses moyens techniques et de rencontrer son personnel.
« Dans le cadre de l’évaluation, l’Agence nationale de la sécurité des systèmes d’information et le centre d’évaluation peuvent chacun demander à assister à toute activité effectuée par le fournisseur de moyen d’identification électronique et relevant de la certification visée.

« Art. R. 54-9. – Le centre d’évaluation informe sans délai l’Agence nationale de la sécurité des systèmes d’information de toute difficulté. L’Agence peut, à tout moment, demander à assister à ces travaux ou à obtenir des informations sur leur déroulement. Elle peut également demander, aux frais du fournisseur de moyen d’identification électronique, un complément à l’évaluation réalisée par le centre d’évaluation.

« Art. R. 54-10. – Au terme de l’évaluation, le centre d’évaluation remet un rapport d’évaluation au fournisseur de moyen d’identification électronique qui le transmet à l’Agence nationale de la sécurité des systèmes d’information dans un délai de trois jours ouvrables après sa réception.
« Le rapport d’évaluation fait état :
« 1° D’un avis motivé sur la conformité du moyen d’identification électronique au cahier des charges défini aux articles R. 54-16 à R. 54-27 ou au référentiel d’exigences mentionné à l’article R. 54-2 ;
« 2° Des activités d’évaluation réalisées ;
« 3° Des constats réalisés lors de l’évaluation et le cas échéant des non-conformités identifiées.

« Art. R. 54-11. – Le directeur général de l’Agence nationale de la sécurité des systèmes d’information prend la décision de certification en tenant compte du rapport d’évaluation et, le cas échéant, des vérifications complémentaires demandées ou réalisées par l’Agence nationale de la sécurité des systèmes d’information.
« La décision d’octroi de la certification mentionne :
« 1° L’identité du fournisseur de moyen d’identification électronique ;
« 2° Les caractéristiques du moyen d’identification électronique certifié ;
« 3° Le niveau de garantie atteint par le moyen d’identification électronique ;
« 4° La durée de validité de la certification ;
« 5° Le cas échéant, les conditions et les réserves liées à la délivrance ou à l’usage du moyen d’identification électronique.
« La décision de refus de certification mentionne les voies et les délais de recours possibles.

« Art. R. 54-12. – En application du 4° de l’article L. 231-4 et de l’article L. 231-6 du code des relations entre le public et l’administration, le silence gardé par le directeur général de l’Agence nationale de la sécurité des systèmes d’information pendant trois mois sur la demande de certification vaut décision de rejet.

« Art. R. 54-13. – La certification a une durée de validité maximale de deux ans à compter du prononcé de la décision par le directeur de l’Agence nationale de la sécurité des systèmes d’information.
« Son renouvellement est prononcé dans les mêmes formes et selon la même procédure que celles prévues par la présente section.
« L’Agence nationale de la sécurité des systèmes d’information publie sur son site internet les décisions de certification en cours de validité.
« Pendant la période de validité de la décision de certification, l’Agence nationale de la sécurité des systèmes d’information peut contrôler, ou faire contrôler par un centre d’évaluation, la conformité du fournisseur de moyen d’identification électronique aux exigences applicables. Ces contrôles sont réalisés dans la limite d’un contrôle par an, sauf en cas d’apparition de vulnérabilités affectant le moyen d’identification électronique ou à la suite d’un incident de sécurité affectant le moyen d’identification électronique.

« Art. R. 54-14. – En cas de manquement aux exigences applicables, aux conditions et réserves fixées par la décision de certification ou en cas de changement des circonstances de droit ou de fait ayant permis de prononcer la décision de certification, le directeur général de l’Agence nationale de la sécurité des systèmes d’information peut décider d’abroger la décision de certification ou de l’assortir de conditions restrictives.
« Le directeur général de l’Agence nationale de la sécurité des systèmes d’information met en demeure le fournisseur du moyen d’identification électronique de présenter dans un délai de deux mois un plan d’action pour répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa.
« Si le directeur général de l’Agence nationale de la sécurité des systèmes d’information estime que les mesures proposées par le fournisseur du moyen d’identification électronique dans le cadre du plan d’action ne permettent pas de répondre aux manquements ou aux changements de circonstance mentionnés au premier alinéa, il en informe la direction interministérielle du numérique et sollicite son avis afin que, dans un délai d’un mois, elle lui fasse part des enjeux de continuité des services qui s’appuient sur ce moyen d’identification électronique.
« Le directeur général de l’Agence nationale de la sécurité des systèmes d’information sollicite simultanément l’avis des personnes qui lui semblent qualifiées. Cet avis est transmis au directeur général de l’Agence nationale de la sécurité des systèmes d’information dans un délai d’un mois à compter de la réception de la sollicitation.
« A l’issue du délai d’un mois mentionné au précédent alinéa, le directeur général de l’Agence nationale de la sécurité des systèmes d’information informe le fournisseur de moyen d’identification électronique du sens de sa décision et des avis de la direction interministérielle du numérique et, le cas échéant, des autres personnes qualifiées sollicitées.
« Le fournisseur de moyen d’identification électronique peut présenter ses observations dans un délai de deux mois à compter de cette information.
« A l’issue de ce délai de deux mois, le directeur général de l’Agence nationale de la sécurité des systèmes d’information notifie sa décision au fournisseur de moyen d’identification électronique dans les conditions prévues par le code des relations entre le public et l’administration.

« Art. R. 54-15. – Lorsque les manquements ou changements de circonstance mentionnés à l’article R. 54-14 sont liés à des vulnérabilités permettant d’usurper ou d’altérer l’identité des utilisateurs du moyen d’identification électronique, connues publiquement ou dont l’exploitation, suspectée ou avérée, entraîne des conséquences graves pour l’utilisateur ou les fournisseurs de services, le directeur général de l’Agence nationale de la sécurité des systèmes d’information peut suspendre la certification du moyen d’identification électronique concerné. Cette suspension est prononcée jusqu’à l’intervention d’une décision d’abrogation de la certification ou de levée de la suspension prise par le directeur général de l’Agence nationale de la sécurité des systèmes d’information, dans un délai qui ne peut excéder cinq mois, dans les conditions prévues à l’article R. 54-14.

« Section 3
« Cahier des charges du moyen d’identification électronique présumé fiable

« Sous-section 1
« Dispositions générales

« Art. R. 54-16. – Le moyen d’identification électronique présumé fiable respecte les conditions, les spécifications techniques et les procédures minimales du niveau de garantie “élevé” définies par le règlement d’exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d’identification électronique mentionnés à l’article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, ainsi que les conditions prévues aux articles R. 54-17 à R. 54-27.
« Les conditions, spécifications techniques et procédures minimales du niveau de garantie “élevé” sont déclinées dans le référentiel d’exigences mentionné à l’article R. 54-2.

« Sous-section 2
« Vérification de l’identité du demandeur

« Art. R. 54-17. – Le fournisseur du moyen d’identification électronique est chargé de vérifier l’identité déclarée par le demandeur avec les informations provenant d’une source faisant autorité.
« Cette source faisant autorité doit faire l’objet d’une vérification. Cette vérification, réalisée par le fournisseur de moyen d’identification électronique, garantit :
« 1° Que la source faisant autorité est valide, au sens du dernier alinéa de l’article R. 54-1 ;
« 2° Que la source faisant autorité n’a pas fait l’objet d’une falsification ou d’une contrefaçon ;
« 3° Que les caractéristiques physiques du demandeur correspondent aux informations provenant de la source faisant autorité ;
« 4° Que l’authenticité du composant électronique et l’intégrité des données qu’il contient sont vérifiées à l’aide de moyens de cryptologie.
« Les modalités de vérification autorisées ainsi que les exigences spécifiques applicables sont précisées dans le référentiel d’exigences mentionné à l’article R. 54-2.

« Art. R. 54-18. – Les données à caractère personnel nécessaires à l’identification d’une personne physique, recueillies lors de la vérification d’identité du demandeur, portent sur les éléments suivants :
« 1° Le nom de famille tel qu’il résulte de l’acte de naissance ;
« 2° Le cas échéant, le nom d’usage ;
« 3° Le ou les prénoms ;
« 4° La date de naissance ;
« 5° Le lieu de naissance ;
« 6° Le sexe.

« Art. R. 54-19. – Le traitement des données à caractère personnel mentionnées à l’article R. 54-18 est effectué en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée.
« La collecte de données autres que celles mentionnées à l’article R. 54-18 est limitée au strict nécessaire au regard de la finalité du traitement permettant la délivrance du moyen d’identification électronique. Seules les données à caractère personnel strictement nécessaires à l’identification de l’utilisateur sont transmises lors de la connexion à un service de communication électronique.

« Art. R. 54-20. – Pour la délivrance du moyen d’identification électronique, le fournisseur du moyen d’identification électronique n’est pas tenu de répéter les procédures de vérification mentionnées à l’article R. 54-17 préalablement utilisées dans un but autre que cette délivrance, lorsque ces procédures assurent une garantie équivalente à celle visée dans le présent cahier des charges et que cette équivalence est confirmée par l’Agence nationale de la sécurité des systèmes d’information.

« Art. R. 54-21. – Lorsque le demandeur dispose déjà d’un moyen d’identification électronique présumé fiable jusqu’à preuve du contraire et certifié dans les conditions prévues au deuxième alinéa de l’article R. 54-3, le fournisseur de moyen d’identification électronique n’est pas tenu de procéder à la vérification de son identité selon les modalités prévues à l’article R. 54-17, sous réserve des deux conditions suivantes :
« 1° Le demandeur doit procéder à une identification électronique avec le moyen d’identification électronique dont il dispose, en respectant les conditions d’usage et réserves éventuelles liées à la présomption de fiabilité ;
« 2° Le recours à ce processus de délivrance simplifié est précédé par une analyse des risques de modification des données à caractère personnel relatives à l’identification du demandeur par le fournisseur de moyen d’identification électronique.
« Le fournisseur de moyen d’identification électronique ne peut recourir à ce processus de délivrance simplifié si le moyen d’identification électronique présenté a lui-même déjà été délivré selon ce processus simplifié.
« Le processus de délivrance simplifié peut être appliqué sur présentation de tout moyen d’identification électronique respectant les exigences relatives au niveau de garantie “élevé” prévu par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, sous réserve que le respect de ces exigences puisse être attesté par l’Agence nationale de la sécurité des systèmes d’information.
« Les dispositions du présent article s’appliquent également au renouvellement et au remplacement du moyen d’identification électronique.

« Art. R. 54-22. – Le fournisseur du moyen d’identification électronique procède à une vérification de l’identité de l’utilisateur tous les cinq ans, à compter de la délivrance du moyen d’identification électronique.
« Ces vérifications sont effectuées conformément aux dispositions de l’article R. 54-16, de l’article R. 54-20 ou de l’article R. 54-21.

« Sous-section 3
« Qualification des moyens de cryptologie constitutifs du moyen d’identification électronique utilisés sous le contrôle du fournisseur de moyen de d’identification

« Art. R. 54-23. – Les moyens de cryptologie constitutifs du moyen d’identification électronique, utilisés sous le contrôle du fournisseur de moyen d’identification électronique pour la génération et la conservation des secrets cryptographiques employés dans le cadre de l’identification d’un utilisateur auprès d’un service numérique, sont qualifiés par l’Agence nationale de la sécurité des systèmes d’information au niveau renforcé défini par le référentiel général de sécurité prévu à l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ces éléments sont utilisés conformément aux conditions d’utilisation définies dans leur attestation de qualification.

« Sous-section 4
« Qualification des moyens de cryptologie constitutifs du moyen d’identification électronique utilisés sous le contrôle de l’utilisateur

« Art. R. 54-24. – Les moyens de cryptologie constitutifs du moyen d’identification électronique utilisés sous le contrôle de l’utilisateur, hors de l’environnement maîtrisé par le fournisseur de moyen d’identification électronique, et dont l’utilisation frauduleuse permet, directement, l’usurpation ou l’altération de l’identité de l’utilisateur, sont qualifiés par l’Agence nationale de la sécurité des systèmes d’information au niveau renforcé défini par le référentiel général de sécurité prévu à l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005. Ces éléments sont utilisés conformément aux conditions d’utilisation définies dans leur attestation de qualification.
« Ces moyens, lorsque leur utilisation frauduleuse permet de faciliter l’usurpation ou l’altération de l’identité de l’utilisateur sans la permettre directement, sont qualifiés par l’Agence nationale de la sécurité des systèmes d’information au niveau élémentaire défini par le référentiel général de sécurité prévu à l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005. Ces éléments sont utilisés conformément aux conditions d’utilisation définies dans leur attestation de qualification.
« La stratégie d’évaluation établie selon les modalités prévues à l’article R. 54-6 permet de déterminer le niveau de qualification des moyens de cryptologie constitutifs du moyen d’identification électronique, en accord avec les principes énoncés aux alinéas précédents.

« Sous-section 5
« Cycle de vie des secrets cryptographiques

« Art. R. 54-25. – Les secrets cryptographiques employés dans le cadre de l’identification d’un utilisateur auprès d’un service numérique, et dont la divulgation permettrait l’usurpation ou l’altération de l’identité de l’utilisateur, sont utilisés pour une durée maximale de cinq ans.

« Sous-section 6
« Gestion de la sécurité de l’information

« Art. R. 54-26. – La mise en œuvre de normes internationales reconnues en matière de gestion de la sécurité de l’information est recommandée. À défaut de mise en œuvre d’une norme reconnue, le fournisseur doit démontrer que le système de gestion de la sécurité de l’information répond à des principes garantissant un niveau de sécurité similaire.

« Sous-section 7
« Comité de suivi de la certification des moyens d’identification électronique

« Art. R. 54-27. – Le fournisseur de moyen d’identification électronique organise annuellement un comité de suivi de la certification des moyens d’identification électronique afin :
« 1° De présenter une synthèse des usages de ces moyens d’identification électronique ;
« 2° D’apprécier les risques pesant sur ces moyens ;
« 3° D’anticiper le renouvellement éventuel de la certification de ces moyens.
« Ce comité s’intéresse aux seuls moyens d’identification électroniques présumés fiables mis en œuvre par le fournisseur de moyen d’identification.
« Le fournisseur de moyen d’identification électronique convie l’Agence nationale de la sécurité des systèmes d’information ainsi que toute personne qualifiée au regard des objectifs du comité. »

Chapitre II : Dispositions modifiant le décret du 7 juillet 2009

Article 2

Avant le dernier alinéa de l’article 4 du décret du 7 juillet 2009 susvisé, est inséré un alinéa ainsi rédigé :

« – de la certification des moyens d’identification électronique mentionnés à l’article L. 102 du code des postes et des communications électroniques ainsi que de sa modification, de sa suspension ou de son retrait. »

Chapitre III : Dispositions finales

Article 3

Les dispositions de l’article 4 du décret du 7 juillet 2009 susvisé, dans leur rédaction résultant de l’article 2 du présent décret, peuvent être modifiées par décret.

Article 4

Le présent décret sera publié au Journal officiel de la République française.

Date et signature(s)

Fait le 15 juillet 2022.

Élisabeth Borne