Le moyen d'identification électronique présumé fiable respecte les conditions, les spécifications techniques et les procédures minimales du niveau de garantie “ élevé ” définies par le règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique mentionnés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, ainsi que les conditions prévues aux articles R. 54-17 à R. 54-27.

Les conditions, spécifications techniques et procédures minimales du niveau de garantie “ élevé ” sont déclinées dans le référentiel d'exigences mentionné à l'article R. 54-2.

Le fournisseur du moyen d'identification électronique est chargé de vérifier l'identité déclarée par le demandeur avec les informations provenant d'une source faisant autorité.

Cette source faisant autorité doit faire l'objet d'une vérification. Cette vérification, réalisée par le fournisseur de moyen d'identification électronique, garantit :

1° Que la source faisant autorité est valide, au sens du dernier alinéa de l'article R. 54-1 ;

2° Que la source faisant autorité n'a pas fait l'objet d'une falsification ou d'une contrefaçon ;

3° Que les caractéristiques physiques du demandeur correspondent aux informations provenant de la source faisant autorité ;

4° Que l'authenticité du composant électronique et l'intégrité des données qu'il contient sont vérifiées à l'aide de moyens de cryptologie.

Les modalités de vérification autorisées ainsi que les exigences spécifiques applicables sont précisées dans le référentiel d'exigences mentionné à l'article R. 54-2.

Les données à caractère personnel nécessaires à l'identification d'une personne physique, recueillies lors de la vérification d'identité du demandeur, portent sur les éléments suivants :

1° Le nom de famille tel qu'il résulte de l'acte de naissance ;

2° Le cas échéant, le nom d'usage ;

3° Le ou les prénoms ;

4° La date de naissance ;

5° Le lieu de naissance ;

6° Le sexe.

Le traitement des données à caractère personnel mentionnées à l'article R. 54-18 est effectué en application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/ CE et de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée.

La collecte de données autres que celles mentionnées à l'article R. 54-18 est limitée au strict nécessaire au regard de la finalité du traitement permettant la délivrance du moyen d'identification électronique. Seules les données à caractère personnel strictement nécessaires à l'identification de l'utilisateur sont transmises lors de la connexion à un service de communication électronique.

Pour la délivrance du moyen d'identification électronique, le fournisseur du moyen d'identification électronique n'est pas tenu de répéter les procédures de vérification mentionnées à l'article R. 54-17 préalablement utilisées dans un but autre que cette délivrance, lorsque ces procédures assurent une garantie équivalente à celle visée dans le présent cahier des charges et que cette équivalence est confirmée par l'Agence nationale de la sécurité des systèmes d'information.

Lorsque le demandeur dispose déjà d'un moyen d'identification électronique présumé fiable jusqu'à preuve du contraire et certifié dans les conditions prévues au deuxième alinéa de l'article R. 54-3, le fournisseur de moyen d'identification électronique n'est pas tenu de procéder à la vérification de son identité selon les modalités prévues à l'article R. 54-17, sous réserve des deux conditions suivantes :

1° Le demandeur doit procéder à une identification électronique avec le moyen d'identification électronique dont il dispose, en respectant les conditions d'usage et réserves éventuelles liées à la présomption de fiabilité ;

2° Le recours à ce processus de délivrance simplifié est précédé par une analyse des risques de modification des données à caractère personnel relatives à l'identification du demandeur par le fournisseur de moyen d'identification électronique.

Le fournisseur de moyen d'identification électronique ne peut recourir à ce processus de délivrance simplifié si le moyen d'identification électronique présenté a lui-même déjà été délivré selon ce processus simplifié.

Le processus de délivrance simplifié peut être appliqué sur présentation de tout moyen d'identification électronique respectant les exigences relatives au niveau de garantie “ élevé ” prévu par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/ CE, sous réserve que le respect de ces exigences puisse être attesté par l'Agence nationale de la sécurité des systèmes d'information.

Les dispositions du présent article s'appliquent également au renouvellement et au remplacement du moyen d'identification électronique.

Le fournisseur du moyen d'identification électronique procède à une vérification de l'identité de l'utilisateur tous les cinq ans, à compter de la délivrance du moyen d'identification électronique.

Ces vérifications sont effectuées conformément aux dispositions de l'article R. 54-16, de l'article R. 54-20 ou de l'article R. 54-21.

Les moyens de cryptologie constitutifs du moyen d'identification électronique, utilisés sous le contrôle du fournisseur de moyen d'identification électronique pour la génération et la conservation des secrets cryptographiques employés dans le cadre de l'identification d'un utilisateur auprès d'un service numérique, sont qualifiés par l'Agence nationale de la sécurité des systèmes d'information au niveau renforcé défini par le référentiel général de sécurité prévu à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ces éléments sont utilisés conformément aux conditions d'utilisation définies dans leur attestation de qualification.

Les moyens de cryptologie constitutifs du moyen d'identification électronique utilisés sous le contrôle de l'utilisateur, hors de l'environnement maîtrisé par le fournisseur de moyen d'identification électronique, et dont l'utilisation frauduleuse permet, directement, l'usurpation ou l'altération de l'identité de l'utilisateur, sont qualifiés par l'Agence nationale de la sécurité des systèmes d'information au niveau renforcé défini par le référentiel général de sécurité prévu à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005. Ces éléments sont utilisés conformément aux conditions d'utilisation définies dans leur attestation de qualification.

Ces moyens, lorsque leur utilisation frauduleuse permet de faciliter l'usurpation ou l'altération de l'identité de l'utilisateur sans la permettre directement, sont qualifiés par l'Agence nationale de la sécurité des systèmes d'information au niveau élémentaire défini par le référentiel général de sécurité prévu à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005. Ces éléments sont utilisés conformément aux conditions d'utilisation définies dans leur attestation de qualification.

La stratégie d'évaluation établie selon les modalités prévues à l'article R. 54-6 permet de déterminer le niveau de qualification des moyens de cryptologie constitutifs du moyen d'identification électronique, en accord avec les principes énoncés aux alinéas précédents.

Les secrets cryptographiques employés dans le cadre de l'identification d'un utilisateur auprès d'un service numérique, et dont la divulgation permettrait l'usurpation ou l'altération de l'identité de l'utilisateur, sont utilisés pour une durée maximale de cinq ans.

La mise en œuvre de normes internationales reconnues en matière de gestion de la sécurité de l'information est recommandée. À défaut de mise en œuvre d'une norme reconnue, le fournisseur doit démontrer que le système de gestion de la sécurité de l'information répond à des principes garantissant un niveau de sécurité similaire.

Le fournisseur de moyen d'identification électronique organise annuellement un comité de suivi de la certification des moyens d'identification électronique afin :

1° De présenter une synthèse des usages de ces moyens d'identification électronique ;

2° D'apprécier les risques pesant sur ces moyens ;

3° D'anticiper le renouvellement éventuel de la certification de ces moyens.

Ce comité s'intéresse aux seuls moyens d'identification électroniques présumés fiables mis en œuvre par le fournisseur de moyen d'identification.

Le fournisseur de moyen d'identification électronique convie l'Agence nationale de la sécurité des systèmes d'information ainsi que toute personne qualifiée au regard des objectifs du comité.