التزامات مقدم خدمات التوقيع الإلكتروني في فرنسا

المقدمة

نشر حل التوقيع الإلكتروني في فرنسا ليس مرتجلاً. وراء كل توقيع مؤهل أو متقدم تختبئ عشرات الالتزامات القانونية التي تقع على عاتق مقدم خدمات الثقة (PSCo). لائحة eIDAS، RGPD، المعيار العام للأمان، معايير ETSI... الإطار التنظيمي كثيف وديناميكي في نفس الوقت. بالنسبة للشركات المستخدمة، فهم هذه الالتزامات القانونية لمقدم خدمات التوقيع الإلكتروني في فرنسا eIDAS RGPD ضروري لاختيار شريك متوافق وتجنب أي مخاطر قانونية. تفصل هذه المقالة، قسماً تلو الآخر، مجموع المتطلبات المنطبقة على مقدمي خدمات الثقة العاملين في الأراضي الفرنسية.

---

حالة مقدم خدمات الثقة المؤهل

ما هو مقدم خدمات الثقة بمعنى eIDAS؟

تميز لائحة eIDAS رقم 910/2014 بين فئتين من مقدمي الخدمات: مقدمو خدمات الثقة غير المؤهلين ومقدمو الخدمات المؤهلين (PSCQ). يمكن للأولين تقديم خدمات التوقيع الإلكتروني البسيطة أو المتقدمة دون مراجعة تابعة إجبارية. الثاني — المصرح به فقط بتسليم التوقيعات المؤهلة بمعنى المادة 3(15) من eIDAS — يجب أن يفي بمتطلبات أكثر صرامة بكثير.

في فرنسا، الوكالة الوطنية لأمان نظم المعلومات (ANSSI) تؤدي دور سلطة الإشراف (« Supervisory Body ») المنصوص عليه في المادة 17 من eIDAS. تنشر وتحتفظ بقائمة الثقة الفرنسية (TSL — Trust Service List)، المتاحة على موقعها الرسمي، وتسرد مقدمي الخدمات المؤهلين وخدماتهم.

إجراء التأهيل: المراجعة والامتثال

للحصول على حالة مؤهل، يجب على مقدم خدمات الثقة بالضرورة:

• الحصول على مراجعة خدماته من قبل هيئة تقييم المطابقة (CAB — Conformity Assessment Body) المعتمدة من قبل COFRAC وفقاً للمعيار EN ISO/IEC 17065.

• تقديم تقرير المراجعة إلى ANSSI، التي تحكم بمنح أو عدم منح حالة مؤهل. يتم إعادة تقييم هذه الحالة على الأقل كل 24 شهراً (المادة 20 §1 من eIDAS).

• إخطار ANSSI بأي تغيير جوهري في خدماته في غضون 3 أشهر قبل التعديل المخطط له (المادة 21 من eIDAS).

عدم احترام هذه الخطوات يعرض مقدم الخدمة لشطبه من قائمة TSL وفقدان الافتراضات القانونية المرتبطة بالتوقيع المؤهل. بالنسبة للشركات العميلة، اللجوء إلى مقدم خدمات ثقة غير مدرج في قائمة TSL يعني عدم الاستفادة من أي افتراض قانوني للموثوقية.

> لمعرفة المزيد عن المستويات المختلفة للتوقيع وآثارها القانونية، راجع مقالتنا.

---

الالتزامات التقنية والأمنية المفروضة على مقدمي خدمات الثقة

الامتثال لمعايير ETSI

يجب على مقدمي الخدمات المؤهلين الامتثال لمجموعة من المعايير الأوروبية التي ينشرها معهد معايير الاتصالات الأوروبي (ETSI). الرئيسية منها:

• ETSI EN 319 401: متطلبات الأمان العامة المنطبقة على جميع مقدمي خدمات الثقة.

• ETSI EN 319 411-1 و 411-2: سياسات وممارسات سلطات التصديق التي تصدر شهادات التوقيع المؤهل.

• ETSI EN 319 132: تنسيقات التوقيع الإلكتروني المتقدم (XAdES لـ XML و PAdES لـ PDF و CAdES لـ CMS).

• ETSI EN 319 122: تنسيق CAdES للتوقيعات المؤهلة.

• ETSI TS 119 431: متطلبات خدمات إنشاء التوقيع عن بعد (QSCD البعيد).

هذه المعايير ليست اختيارية: لائحة eIDAS (الملحق II و III و IV) تشير إليها بشكل صريح لتحديد المتطلبات الدنيا للشهادات المؤهلة وأجهزة إنشاء التوقيع.

إدارة الأجهزة الآمنة لإنشاء التوقيع (QSCD)

أحد أعمدة التوقيع المؤهل هو استخدام جهاز آمن لإنشاء التوقيع (QSCD — Qualified Signature Creation Device) يمتثل للملحق II من eIDAS. يجب على مقدم الخدمة ضمان أن:

• لا يمكن إنشاء مفتاح التوقيع الخاص بالموقِّع أو تخزينه أو نسخه خارج جهاز QSCD.

• يتم إنشاء المفتاح حصراً في بيئة معتمدة (شهادة Common Criteria EAL 4+ أو ما يعادلها).

• يعتمد توثيق الموقِّع السابق لأي عملية توقيع على عاملي توثيق على الأقل.

في سياق التوقيع عن بعد — الذي أصبح متكرراً بشكل متزايد في بيئات SaaS — تنطبق هذه المتطلبات على خادم HSM (Hardware Security Module) الذي يستضيف المفاتيح. نشرت ANSSI ملفات حماية محددة (PP-0075، PP-0076) تحدد معايير الأمان المطلوب تحقيقها.

سياسة الاستمرارية وإخطار الحوادث

تفرض المادة 19 من eIDAS على كل مقدم خدمات ثقة (مؤهل أم لا) أن:

• يخطر سلطة الإشراف (ANSSI) وإذا لزم الأمر، سلطة حماية البيانات (CNIL)، خلال 24 ساعة من اكتشاف انتهاك أمني قد يؤثر على موثوقية الخدمة.

• يحتفظ بخطة استمرارية نشاط موثقة واختبرت بانتظام.

• يمتلك سياسة أمان معلومات رسمية، تغطي على الخصوص إدارة المخاطر، إدارة الحوادث وسياسة النسخ الاحتياطي.

تتقاطع هذه المتطلبات جزئياً مع متطلبات توجيه NIS2 (2022/2555/UE)، المنقولة إلى القانون الفرنسي بموجب القانون رقم 2023-703 المؤرخ 1 أغسطس 2023، الذي يصنف مقدمي خدمات الثقة ذوي الحجم الكبير بين الكيانات الهامة أو الأساسية الخاضعة لالتزامات مشددة للأمن السيبراني.

> اكتشف كيف يجب أن تدمج هذه القيود في سير عملياتك الموثقة.

---

الالتزامات المحددة بموجب RGPD

هل مقدم خدمات الثقة مسؤول معالج أم معالج فرعي؟

يعتمد تصنيف RGPD لمقدم الخدمة على طبيعة الخدمة المقدمة:

• عندما يقدم مقدم خدمات الثقة شهادات مؤهلة مباشرة باسم الموقِّع ويحدد أغراض معالجة البيانات الشخصية (الهوية، البيانات البيومترية للمصادقة)، يتصرف كمسؤول معالجة بمعنى المادة 4(7) RGPD.

• عندما يدمج واجهة برمجية له في منصة عميل B2B ويعالج البيانات الشخصية وفقاً لتعليمات هذا العميل فقط، يتخذ صفة معالج فرعي (المادة 4(8) RGPD) ويجب عليه بالضرورة إبرام اتفاقية معالجة بيانات (DPA) متوافقة مع المادة 28 RGPD.

في الممارسة العملية، معظم مقدمي خدمات الثقة SaaS يجمعون بين الصفتين: مسؤول لإدارة بنية التصديق الخاصة بهم، معالج فرعي لمعالجة مستندات وبيانات الموقِّعين الوصفية.

الالتزامات المحددة المرتبطة بالبيانات البيومترية وبيانات الهوية

يتضمن تحديد الموقِّع والتحقق منه — خطوة إجبارية لإصدار شهادة مؤهلة — غالباً معالجة بيانات حساسة: مسح الهوية، فيديو selfie، بيانات بيومترية للتعرف على الوجه. تشكل هذه البيانات بيانات شخصية تخضع لـ RGPD، بل وتندرج في فئات خاصة بموجب المادة 9 من RGPD (البيانات البيومترية).

تشمل التزامات مقدم خدمات الثقة:

• الأساس القانوني: الموافقة الصريحة (المادة 9§2a) أو، في بعض الحالات، الالتزام القانوني (المادة 9§2b) لمعالجة البيانات البيومترية.

• مدة الاحتفاظ محدودة: وفقاً لخطوط CNIL التوجيهية، يجب الاحتفاظ ببيانات الهوية الوقت الضروري بحتة، عادة ما يتوافق مع مدة صلاحية الشهادة + المدة القانونية للإثبات (غالباً 10 سنوات للعقود الموقعة من قبل، المادة 2224 من القانون المدني الفرنسي).

• تقييم الأثر (AIPD) إجباري (المادة 35 RGPD) طالما أن المعالجة قد تشكل خطراً عالياً — وهو ما يحدث بشكل منهجي بالنسبة للبيانات البيومترية.

• سجل المعالجات (المادة 30 RGPD) يُحتفظ به محدثاً وموثقاً لكل فئة من المعالجات.

التحويلات الدولية للبيانات

كثيرون هم مقدمو خدمات الثقة الذين يستضيفون كل أو جزء من بنيتهم التحتية خارج المنطقة الاقتصادية الأوروبية (EEE). في هذه الحالة، تنطبق الضمانات المناسبة المطلوبة بموجب الفصل V من RGPD: قرار الملاءمة أو الشروط العقدية النموذجية (SCCs) من المفوضية الأوروبية أو قواعد الشركة الملزمة (BCR). أعادت قضية Schrems II (CJUE، C-311/18، 16 يوليو 2020) التذكير بأن التحويلات إلى الولايات المتحدة تتطلب تحليل مخاطر البلد المسبق.

> لفهم تأثير هذه القواعد على منظمتك، راجع مقالتنا.

---

التزامات الشفافية والإفصاح للمستخدمين

سياسة التصديق (PC) وبيان ممارسات التصديق (DPC)

يُلزم كل مقدم خدمات ثقة يصدر شهادات بنشر سياسة التصديق (PC) وبيان ممارسات التصديق (DPC)، وفقاً لمعيار ETSI EN 319 411. توضح هذه الوثائق، المتاحة بحرية:

• إجراءات تحديد الهوية والتسجيل للموقِّعين.

• التدابير الأمنية المادية والمنطقية المنشورة.

• شروط سحب الشهادات والفترات الزمنية المرتبطة بها.

• مسؤوليات مقدم خدمات الثقة والقيود على الضمانات.

الافتقار إلى هذه الوثائق أو نقصها يشكل عدم توافق قد يلاحظه المدقق أثناء مراجعة إعادة التأهيل من قبل الهيئة المعتمدة.

الإفصاح قبل التعاقدي والعقدي للعملاء

بعيداً عن الالتزامات البحتة التقنية، تفرض المادة 13 من RGPD على مقدم خدمات الثقة تقديم معلومات واضحة وسهلة الوصول إلى كل شخص يتم جمع بياناته على:

• هوية المسؤول المعالج ومعلومات اتصال مسؤول حماية البيانات (إجباري بالنسبة لمقدمي خدمات الثقة الذين يعالجون على نطاق واسع البيانات الحساسة، المادة 37 RGPD).

• الأغراض والأساس القانوني لكل معالجة.

• حقوق الأفراد (الوصول، التصحيح، الحذف، النقل، الاعتراض).

• المستقبلون المحتملون للبيانات (معالجون فرعيون، سلطات).

يجب أن تظهر هذه المعلومات في سياسة السرية للخدمة، في شروط الاستخدام وفي اتفاقية معالجة البيانات المعقودة مع العملاء المحترفين.

الوقت والتاريخ المؤهل والتحقق الكامل من الأثر

لضمان القيمة الثابتة للتوقيعات على المدى الطويل، يربط مقدمو خدمات الثقة الجادون بشكل منهجي وقت وتاريخ إلكتروني مؤهل (المادة 42 من eIDAS) بكل عمل موقع. يشكل هذا الوقت والتاريخ دليلاً مفترضاً قانونياً على وجود البيانات في التاريخ المشار إليه. يعتبر الاحتفاظ بسجل المراجعة (سجلات التحديد، بصمة المستند، بيانات التوقيع) التزاماً عملياً للسماح بأي تحقق قضائي لاحق.

> قارن الحلول المتاحة في السوق وفقاً لهذه المعايير في مقالتنا.

---

eIDAS 2.0: الالتزامات الجديدة في الأفق 2026-2027

لائحة eIDAS 2.0 (UE) 2024/1183

المنشورة في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024، لائحة (UE) 2024/1183 المسماة « eIDAS 2.0 » تعزز بشكل كبير التزامات مقدمي خدمات الثقة حول ثلاثة محاور:

• محفظة الهوية الرقمية الأوروبية (EUDI Wallet): يجب على الدول الأعضاء توفير محفظة هوية رقمية معتمدة بحلول 2 نوفمبر 2026. سيتعين على مقدمي خدمات الثقة دمج خدماتهم مع هذه المحفظة لتقديم توقيعات مؤهلة عبر هوية eIDAS 2.0.

• إدارة شهادات السمات: يقدم eIDAS 2.0 شهادات السمات المؤهلة (QEAAs)، الصادرة من قبل مقدمي خدمات إقرار مؤهلين. ستنطبق إجراءات مراجعة وتأهيل جديدة.

• تعزيز الإشراف: ترى السلطات الوطنية للإشراف (ANSSI للفرنسا) توسع صلاحياتها، خاصة القدرة على إجراء عمليات تفتيش مفاجئة وفرض تدابير تصحيحية ملزمة في آجال مختصرة.

الآثار العملية لمقدمي الخدمات الحاليين

يجب على مقدمي خدمات الثقة المؤهلين بالفعل بموجب eIDAS 1.0 تنفيذ توافق تدريجي قبل المواعيد النهائية المحددة من قبل القرارات التنفيذية للمفوضية (المنشورة أو قيد الإعداد). تتعلق التعديلات الرئيسية بـ:

• إعادة تطوير البنية التحتية للتحديد لدعم محفظة EUDI Wallet كوسيلة للمصادقة.

• تحديث سياسات التصديق (PC/DPC) لدمج أنواع الشهادات والشهادات الجديدة.

• تعزيز متطلبات أمان أجهزة QSCD البعيدة، مع ملفات حماية جديدة قادمة.

بالنسبة للشركات العميلة، هذا يعني التحقق في الوقت الراهن من أن مقدم الخدمة لديه خريطة طريق توافق eIDAS 2.0 موثقة والتحقق منها.

الإطار القانوني المنطبق على التزامات مقدمي خدمات التوقيع الإلكتروني

تتمحور السلسلة المعيارية المنطبقة على مقدمي خدمات التوقيع الإلكتروني العاملين في فرنسا على عدة مستويات هرمية متكاملة.

القانون المدني الفرنسي — المواد 1366 و 1367

تعترف المادة 1366 من القانون المدني الفرنسي بالمستند الإلكتروني كوسيلة إثبات معادلة للمستند الورقي، بشرط أن « يتم التحقق من شخصية منشئه بشكل صحيح وأن يتم إنشاء واحتفاظ به في ظروف من شأنها ضمان سلامته ». توضح المادة 1367 أن التوقيع الإلكتروني « يتكون من استخدام إجراء موثوق لتحديد الهوية يضمن ارتباطه بالعمل الذي يصحبه ». تستفيد التوقيعات المؤهلة بمعنى eIDAS من افتراض الموثوقية، مما يعكس عبء الإثبات لصالح الموقِّع.

لائحة eIDAS رقم 910/2014/UE

تؤسس هذه اللائحة، المعمول بها مباشرة في جميع الدول الأعضاء، الإطار القانوني لخدمات الثقة. تحدد المادة 26 شروط التوقيع الإلكتروني المتقدم؛ المادة 28 متطلبات الشهادات المؤهلة؛ الملحق الأول تفاصيل المحتوى الإجباري لهذه الشهادات. يستفيد مقدمو خدمات الثقة المؤهلون من افتراض الامتثال لمتطلبات اللائحة التقنية والقانونية (المادة 19§2)، وهو ما يشكل ميزة رئيسية في حالة النزاع.

لائحة eIDAS 2.0 — (UE) 2024/1183

المنشورة في 30 أبريل 2024، تقدم هذه اللائحة المعدلة فئات جديدة من خدمات الثقة (شهادات السمات المؤهلة، خدمات الحفظ المؤهلة) وتعزز التزامات الإشراف. تلغي وتحل جزئياً محل لائحة 910/2014، مع تطبيق تدريجي وفقاً لقرارات تنفيذية المفوضية الأوروبية.

RGPD — اللائحة (UE) 2016/679

ينطبق RGPD على أي معالجة للبيانات الشخصية التي تتم في سياق خدمة التوقيع الإلكتروني. المواد 5 (مبادئ الشرعية)، 6 (الأساس القانوني)، 9 (البيانات الحساسة)، 13-14 (الإفصاح)، 28 (المعالجة الفرعية)، 32 (الأمان)، 33-34 (إخطار الانتهاك)، 35 (تقييم الأثر) و 37 (مسؤول حماية البيانات) تشكل الأحكام الأكثر تطبيقاً. تتمتع CNIL (الهيئة الفرنسية لحماية البيانات) بسلطة الرقابة المختصة في فرنسا ويمكنها فرض غرامات تصل إلى 20 مليون يورو أو 4% من رقم الأعمال السنوي العالمي (المادة 83§5 من RGPD).

توجيه NIS2 — (UE) 2022/2555

المنقول إلى القانون الفرنسي بموجب القانون رقم 2023-703 المؤرخ 1 أغسطس 2023، يصنف NIS2 مقدمي خدمات الثقة ذوي الأهمية بين الكيانات الهامة أو الأساسية الخاضعة لالتزامات إدارة المخاطر السيبرانية وإخطار الحوادث إلى ANSSI خلال 24 ساعة (التنبيه المبكر) ثم 72 ساعة (الإخطار الكامل).

معايير ETSI

تشكل مجموعة معايير EN 319 401 و EN 319 411-1/2 و EN 319 132 و EN 319 122 و TS 119 431 المرجع التقني الإجباري لمراجعة التأهيل. عدم احترامها يترتب عليه استحالة الحصول على أو الاحتفاظ بحالة مؤهل.

المخاطر القانونية في حالة عدم الامتثال

يواجه مقدم الخدمة غير الملتزم بـ: شطب من قائمة TSL الفرنسية، توضيح مسؤوليته العقدية والعقدية، عقوبات إدارية من CNIL، غرامات NIS2 قد تصل إلى 10 ملايين يورو أو 2% من رقم الأعمال العالمي للكيانات الهامة و 20 مليون أو 4% من رقم الأعمال للكيانات الأساسية، وكذلك إجراءات قضائية من العملاء الذين لحقت بهم أضرار نتيجة توقيعات غير صالحة قانوناً.

السيناريوهات الاستخدام: كيف تتحقق الشركات من امتثال مقدم خدماتها

السيناريو 1 — مجموعة صناعية تدير 3000 عقد مورد سنوياً

مجموعة صناعية متوسطة الحجم (ETI)، نشطة في تصنيع المعدات الميكانيكية، تدمج كل عقودها مع الموردين عبر منصة SaaS للتوقيع الإلكتروني. أثناء مراجعة داخلية أطلقت بعد تطور تنظيمي، تكتشف الإدارة القانونية أن