التزامات موفري خدمات التوقيع الإلكتروني في فرنسا

المقدمة

نشر حل التوقيع الإلكتروني في فرنسا لا يتم بشكل عشوائي. وراء كل توقيع مؤهل أو متقدم تكمن عشرات الالتزامات القانونية الملقاة على عاتق مقدم خدمات الثقة (PSCo). لائحة eIDAS والقانون العام لحماية البيانات RGPD والمرجعية العامة للأمان ومعايير ETSI... الإطار التنظيمي كثيف وديناميكي في نفس الوقت. بالنسبة للمؤسسات المستخدمة، فإن فهم هذه الالتزامات القانونية لموفري خدمات التوقيع الإلكتروني في فرنسا eIDAS RGPD أمر ضروري لاختيار شريك ممتثل وتجنب أي مخاطر قانونية. تفصل هذه المقالة، قسماً تلو الآخر، جميع المتطلبات المنطبقة على PSCo العاملة على الأراضي الفرنسية.

---

وضع مقدم خدمات الثقة المؤهل

ما هو PSCo بموجب قانون eIDAS؟

تمييز لائحة eIDAS رقم 910/2014 بين فئتين من موفري الخدمات: موفري خدمات الثقة غير المؤهلين وموفري الخدمات المؤهلين (PSCQ). يجوز للأول تقديم خدمات توقيع إلكتروني بسيط أو متقدم بدون تدقيق طرف ثالث إلزامي. أما الثانية — وهم فقط المرخصون بتسليم التوقيعات المؤهلة بموجب المادة 3(15) من eIDAS — يجب أن يستوفوا متطلبات أكثر صرامة بكثير.

في فرنسا، وكالة الأمن القومي لأنظمة المعلومات (ANSSI) هي التي تضطلع بدور سلطة الإشراف (« Supervisory Body ») المنصوص عليها في المادة 17 من eIDAS. تنشر وتحافظ على قائمة الثقة الفرنسية (TSL — Trust Service List)، المتاحة على موقعها الرسمي، والتي تسرد موفري الخدمات المؤهلين وخدماتهم.

إجراء المؤهلات: التدقيق والامتثال

للحصول على وضع مؤهل، يجب على PSCo بالضرورة:

• الحصول على تدقيق خدماته من قبل هيئة تقييم المطابقة (CAB — Conformity Assessment Body) معتمدة من COFRAC وفقاً لمعيار EN ISO/IEC 17065.

• تقديم تقرير التدقيق إلى ANSSI، التي تقرر منح وضع مؤهل. يتم إعادة تقييم هذا الوضع على الأقل كل 24 شهراً (المادة 20 §1 من eIDAS).

• إخطار ANSSI بأي تغيير جوهري في خدماته في غضون 3 أشهر قبل التعديل المخطط له (المادة 21 من eIDAS).

عدم الامتثال لهذه الخطوات يعرض موفر الخدمة لـ حذف من TSL وفقدان الافتراضات القانونية المرتبطة بالتوقيع المؤهل. بالنسبة للشركات العميلة، اللجوء إلى PSCo غير المدرج على TSL يعادل عدم الاستفادة من أي افتراض قانوني بالموثوقية.

> لمزيد من المعلومات حول المستويات المختلفة من التوقيع وآثارها القانونية، راجع دليلنا الشامل للائحة eIDAS 2.0.

---

الالتزامات التقنية والأمنية المفروضة على PSCo

الامتثال لمعايير ETSI

يجب على موفري الخدمات المؤهلين الامتثال لمجموعة من معايير أوروبا التي نشرها معهد معايير الاتصالات الأوروبي (ETSI). الرئيسية منها:

• ETSI EN 319 401: متطلبات الأمان العامة الواجبة التطبيق على جميع PSCo.

• ETSI EN 319 411-1 و 411-2: سياسات وممارسات جهات شهادات الهوية التي تسلم شهادات التوقيع المؤهلة.

• ETSI EN 319 132: تنسيقات التوقيع الإلكتروني المتقدم (XAdES للـ XML و PAdES للـ PDF و CAdES للـ CMS).

• ETSI EN 319 122: تنسيق CAdES للتوقيعات المؤهلة.

• ETSI TS 119 431: متطلبات خدمات إنشاء التوقيع عن بعد (QSCD البعيدة).

هذه المعايير ليست اختيارية: تشير إليها لائحة eIDAS (الملحق الثاني والثالث والرابع) بشكل صريح لتعريف الحد الأدنى من متطلبات الشهادات المؤهلة والأجهزة الموثوقة لإنشاء التوقيع.

إدارة الأجهزة الموثوقة لإنشاء التوقيع (QSCD)

أحد الأركان الأساسية للتوقيع المؤهل هو استخدام جهاز موثوق لإنشاء التوقيع (QSCD — Qualified Signature Creation Device) يتوافق مع الملحق الثاني من eIDAS. يجب على موفر الخدمة التأكد من أن:

• المفتاح الخاص للموقّع لا يمكن إنشاؤه أو تخزينه أو نسخه خارج QSCD.

• يتم إنشاء المفتاح حصراً في بيئة معتمدة (شهادة معايير Common Criteria EAL 4+ أو ما يعادلها).

• يعتمد تحقق الهوية من الموقّع على عاملين للمصادقة على الأقل.

في سياق التوقيع عن بعد — الذي أصبح منتشراً بشكل متزايد في بيئات SaaS — تنطبق هذه المتطلبات على خادم HSM (وحدة أمان الأجهزة) المحتضن للمفاتيح. نشرت ANSSI ملفات حماية محددة (PP-0075, PP-0076) تحدد معايير الأمان المراد تحقيقها.

سياسة الاستمرارية وإخطار الحوادث

تفرض المادة 19 من eIDAS على أي موفر خدمات ثقة (مؤهل أم لا) ما يلي:

• إخطار سلطة الإشراف (ANSSI) وإذا لزم الحال سلطة حماية البيانات (CNIL)، في غضون 24 ساعة بعد اكتشاف انتهاك أمني من شأنه أن يؤثر على موثوقية الخدمة.

• الاحتفاظ بـ خطة استمرارية العمل موثقة واختبارها بشكل منتظم.

• امتلاك سياسة أمان المعلومات الموثقة، تغطي على الخصوص إدارة المخاطر وإدارة الحوادث وسياسة النسخ الاحتياطي.

تتداخل هذه المتطلبات جزئياً مع تلك الواردة في توجيه NIS2 (2022/2555/UE)، المدرج في القانون الفرنسي بموجب القانون رقم 2023-703 بتاريخ 1 أغسطس 2023، الذي يصنف PSCo بحجم كبير من بين الكيانات المهمة أو الأساسية الخاضعة لالتزامات معززة في مجال الأمن السيبراني.

> اكتشف كيف يجب على التوقيع الإلكتروني للمكاتب القانونية أن يدمج هذه القيود في مسارات العمل الوثائقية الخاصة بها.

---

الالتزامات المحددة بموجب RGPD للـ PSCo

هل PSCo مسؤول عن المعالجة أم معالج بيانات؟

يعتمد تصنيف RGPD لموفر الخدمة على طبيعة الخدمة المقدمة:

• عندما يسلم PSCo شهادات مؤهلة مباشرة باسم الموقّع ويحدد أغراض معالجة البيانات الشخصية (الهوية وبيانات المصادقة البيومترية)، يتصرف بصفته مسؤول معالجة بموجب المادة 4(7) من RGPD.

• عندما يدمج واجهة برمجية تطبيقات (API) في منصة عميل B2B ويعالج البيانات الشخصية وفقاً لتعليمات هذا العميل فقط، يتولى صفة معالج بيانات (المادة 4(8) من RGPD) ويجب عليه بالضرورة إبرام اتفاقية معالجة البيانات (DPA) متوافقة مع المادة 28 من RGPD.

في الممارسة العملية، تجمع معظم PSCo من نوع SaaS بين الصفتين: مسؤول عن إدارة البنية التحتية الخاصة بهم للشهادات، ومعالج بيانات لمعالجة وثائق وبيانات وصفية الموقّعين.

التزامات محددة متعلقة بالبيانات البيومترية وبيانات الهوية

التعريف والتحقق من هوية الموقّع — خطوة إلزامية لتسليم شهادة مؤهلة — غالباً ما ينطوي على معالجة بيانات حساسة: مسح هوية، فيديو سيلفي، بيانات بيومترية للتعرف على الوجه. تشكل هذه البيانات بيانات شخصية الخاضعة لـ RGPD، أو حتى بيانات بيومترية التي تندرج تحت المادة 9 من RGPD (فئات خاصة).

تشمل التزامات PSCo ما يلي:

• أساس قانوني: الموافقة الصريحة (المادة 9§2a) أو في بعض الحالات الالتزام القانوني (المادة 9§2b) لمعالجة البيانات البيومترية.

• مدة الاحتفاظ محدودة: وفقاً لإرشادات CNIL، يجب الاحتفاظ ببيانات التعريف للوقت الضروري بدقة، عادة محاذاة لمدة صحة الشهادة + مدة الحفظ القانونية (غالباً 10 سنوات للعقود الخاصة، المادة 2224 من القانون المدني).

• تقييم الأثر (AIPD) إلزامي (المادة 35 من RGPD) بمجرد أن تكون معالجة البيانات من المحتمل أن تنطوي على خطر مرتفع — وهذا هو الحال بشكل منهجي بالنسبة للبيانات البيومترية.

• سجل المعالجات (المادة 30 من RGPD) محدث بشكل دوري ويوثق كل فئة من المعالجات.

نقل البيانات الدولية

يقوم عدد كبير من PSCo باستضافة كل أو جزء من البنية التحتية الخاصة بهم خارج المنطقة الاقتصادية الأوروبية (EEE). في هذه الحالة، تطبق الضمانات المناسبة المطلوبة بموجب الفصل الخامس من RGPD: قرار الكفاية أو شروط العقود الموحدة (SCCs) من المفوضية الأوروبية أو قواعد شركية ملزمة (BCR). أعادت قضية Schrems II (محكمة العدل الأوروبية، C-311/18، 16 يوليو 2020) التأكيد على أن النقل إلى الولايات المتحدة يتطلب تحليل مخاطر بلد مسبق.

> لفهم تأثير هذه القواعد على المنظمة الخاصة بك، راجع دليلنا حول التوقيع الإلكتروني في المؤسسة.

---

الالتزامات بالشفافية والإعلام تجاه المستخدمين

سياسة الشهادات (PC) وإعلان ممارسات الشهادات (DPC)

يُطلب من أي PSCo يسلم شهادات نشر سياسة شهادات (PC) وإعلان ممارسات الشهادات (DPC)، طبقاً لمعيار ETSI EN 319 411. توثق هذه الوثائق، المتاحة بحرية، ما يلي:

• إجراءات التعريف والتسجيل للموقّعين.

• تدابير الأمان المادي والمنطقي المنفذة.

• شروط إلغاء الشهادات والفترات الزمنية المرتبطة بها.

• مسؤوليات وحدود ضمان موفر الخدمة.

يشكل الغياب أو عدم كمال هذه الوثائق عدم امتثال يمكن لاحظته أثناء تدقيق إعادة المؤهلات من قبل الهيئة المعتمدة.

الإعلام قبل العقد والإعلام العقدي للعملاء

إلى جانب الالتزامات البحتة التقنية، تفرض المادة 13 من RGPD على PSCo تقديم إعلام واضح وميسور لكل شخص يتم جمع بيانات منه بشأن:

• هوية مسؤول المعالجة وجهات الاتصال لموظف حماية البيانات (إلزامي لـ PSCo الذي يعالج على نطاق واسع البيانات الحساسة، المادة 37 من RGPD).

• أغراض وأساس كل معالجة.

• حقوق الأفراد (الوصول والتصحيح والحذف والنقل والاعتراض).

• المتلقون المحتملون للبيانات (معالجو البيانات والسلطات).

يجب أن تظهر هذه المعلومات في سياسة الخصوصية للخدمة وفي شروط الاستخدام و في اتفاقية معالجة البيانات المبرمة مع العملاء المحترفين إذا لزم الأمر.

الطابع الزمني المؤهل وسجل التدقيق

لضمان القيمة الإثباتية على المدى الطويل للتوقيعات، يربط موفرو الخدمات الموثوقون بشكل منتظم طابع زمني إلكتروني مؤهل (المادة 42 من eIDAS) بكل عمل موقّع. يشكل هذا الطابع الزمني دليلاً بموجب القانون على وجود البيانات في التاريخ المشار إليه. يعتبر الحفاظ على سجل التدقيق (سجلات التعريف والبصمة على المستند وبيانات التوقيع) التزاماً واقعياً للسماح بأي تحقق قضائي لاحق.

> قارن الحلول في السوق وفقاً لهذه المعايير في مقارن حلول التوقيع الإلكتروني.

---

eIDAS 2.0: الالتزامات الجديدة في الأفق 2026-2027

لائحة eIDAS 2.0 (UE) 2024/1183

المنشورة في الجريدة الرسمية للاتحاد الأوروبي بتاريخ 30 أبريل 2024، تعزز لائحة (UE) 2024/1183 المسماة « eIDAS 2.0» بشكل كبير التزامات PSCo حول ثلاثة محاور:

• المحفظة الأوروبية للهوية الرقمية (EUDI Wallet): يجب على الدول الأعضاء توفير محفظة هوية رقمية معتمدة بحلول 2 نوفمبر 2026. سيتعين على PSCo دمج خدمتهم مع هذه المحفظة لتقديم توقيعات مؤهلة عبر هوية eIDAS 2.0.

• إدارة شهادات الخصائص: يقدم eIDAS 2.0 شهادات الخصائص المؤهلة (QEAAs)، التي يسلمها موفرو خدمات ثقة معتمدون متخصصون. ستطبق إجراءات تدقيق وتصنيف جديدة.

• تعزيز الإشراف: تشهد السلطات الوطنية للإشراف (ANSSI بالنسبة لفرنسا) توسيع صلاحياتهم، لا سيما القدرة على إجراء تدقيق مفاجئ وفرض تدابير تصحيحية ملزمة في آجال أقصر.

الآثار العملية لموفري الخدمات الحالية

يجب على PSCo المؤهلة بالفعل بموجب eIDAS 1.0 الشروع في توافق تدريجي قبل الآجال المحددة من قبل الأعمال الإجرائية للمفوضية (المنشورة أو قيد النشر). تتعلق أهم التعديلات بـ:

• إعادة هندسة البنية التحتية للتعريف لدعم EUDI Wallet كوسيلة للمصادقة.

• تحديث PC/DPC لتضمين أنواع جديدة من الشهادات والشهادات.

• تعزيز متطلبات الأمان لـ QSCD البعيدة، مع ملفات حماية جديدة قادمة.

بالنسبة للشركات العميلة، يعني هذا التحقق الآن من وجود خارطة طريق توافق eIDAS 2.0 موثقة وقابلة للتحقق لدى موفر الخدمة.

الإطار القانوني المنطبق على التزامات موفري خدمات التوقيع الإلكتروني

يتمحور السلم المعياري المنطبق على موفري خدمات التوقيع الإلكتروني العاملين في فرنسا على عدة مستويات هرمية متكاملة.

القانون المدني الفرنسي — المادتان 1366 و 1367

تعترف المادة 1366 من القانون المدني بالكتابة الإلكترونية كوسيلة إثبات معادلة للكتابة على الورق، بشرط « أن يمكن التعريف الصحيح بالشخص الذي تصدر عنه وأن تكون موضوع تحرير وحفظ في ظروف من شأنها أن تضمن سلامتها». توضح المادة 1367 أن التوقيع الإلكتروني « يتكون من استخدام عملية موثوقة للتعريف تضمن ارتباطه بالعمل الذي يرفقه». يستفيد الافتراض بالموثوقية من التوقيعات المؤهلة بموجب eIDAS، مما يعكس عبء الإثبات لصالح الموقّع.

لائحة eIDAS رقم 910/2014/UE

تحدد هذه اللائحة، الواجبة التطبيق المباشر في جميع الدول الأعضاء، الإطار القانوني لخدمات الثقة. تحدد المادة 26 شروط التوقيع الإلكتروني المتقدم؛ تحدد المادة 28 متطلبات الشهادات المؤهلة؛ يفصل الملحق الأول محتوى هذه الشهادات الإلزامي. يستفيد PSCo المؤهلون من افتراض المطابقة لمتطلبات اللائحة التقنية والقانونية (المادة 19§2)، وهو ما يشكل أصلاً مهماً في حالة النزاع.

لائحة eIDAS 2.0 — (UE) 2024/1183

المنشورة بتاريخ 30 أبريل 2024، تقدم هذه اللائحة المعدلة فئات جديدة من خدمات الثقة (شهادات الخصائص المؤهلة وخدمات الأرشفة المؤهلة) وتعزز التزامات الإشراف. تلغي وتستبدل جزئياً اللائحة 910/2014، مع تطبيق تدريجي وفقاً لأعمال تنفيذية من المفوضية الأوروبية.

RGPD — اللائحة (UE) 2016/679

ينطبق RGPD على أي معالجة بيانات شخصية تتم في سياق خدمة التوقيع الإلكتروني. تشكل المواد 5 (مبادئ الشرعية) و 6 (الأساس القانوني) و 9 (البيانات الحساسة) و 13-14 (الإعلام) و 28 (معالجة البيانات) و 32 (الأمان) و 33-34 (إخطار الانتهاك) و 35 (AIPD) و 37 (DPO) أكثر الأحكام تطبيقاً بشكل متكرر. تمثل CNIL السلطة الرقابية المختصة في فرنسا ويمكنها فرض غرامات تصل إلى 20 مليون يورو أو 4٪ من رقم الأعمال السنوي العالمي (المادة 83§5 من RGPD).

توجيه NIS2 — (UE) 2022/2555

المدرج في القانون الفرنسي بموجب القانون رقم 2023-703 بتاريخ 1 أغسطس 2023، يصنف NIS2 PSCo ذوي الأهمية الكبيرة ضمن الكيانات المهمة أو الأساسية الخاضعة لالتزامات إدارة مخاطر الأمن السيبراني وإخطار الحوادث إلى ANSSI في غضون 24 ساعة (التنبيه المبكر) ثم 72 ساعة (الإخطار الكامل).

معايير ETSI

يشكل مجموع معايير EN 319 401 و EN 319 411-1/2 و EN 319 132 و EN 319 122 و TS 119 431 المرجعية التقنية الإلزامية لتدقيق المؤهلات. عدم الامتثال لها يترتب عليه استحالة الحصول على أو الحفاظ على وضع مؤهل.

الأخطار القانونية في حالة عدم الامتثال

يتعرض موفر غير ممتثل لـ: حذف من TSL الفرنسية وتحمل المسؤولية العقدية والمسؤولية خارج العقد، عقوبات إدارية من CNIL، غرامات NIS2 قد تصل إلى 10 ملايين يورو أو 2٪ من رقم الأعمال العالمي للكيانات المهمة و 20 مليون أو 4٪ من رقم الأعمال للكيانات الأساسية، بالإضافة إلى دعاوى قضائية من العملاء الذين تضرروا من جراء توقيعات غير صالحة قانونياً.

سيناريوهات الاستخدام: كيف تت