التزامات مقدم خدمات التوقيع الإلكتروني في فرنسا

مقدمة

نشر حل التوقيع الإلكتروني في فرنسا لا يتم ارتجالاً. خلف كل توقيع مؤهل أو متقدم تختبئ عشرات الالتزامات القانونية التي تقع على عاتق مقدم خدمات الثقة (PSCo). اللائحة eIDAS و RGPD والمرجع العام للأمان ومعايير ETSI... الإطار التنظيمي كثيف وديناميكي في نفس الوقت. بالنسبة للمؤسسات المستخدمة، فإن فهم هذه الالتزامات القانونية لمقدم خدمات التوقيع الإلكتروني في فرنسا eIDAS RGPD أمر لا غنى عنه لاختيار شريك متوافق وتجنب أي مخاطر قانونية. تفصل هذه المقالة، قسماً تلو الآخر، جميع المتطلبات المطبقة على مقدمي خدمات الثقة الذين يعملون في الأراضي الفرنسية.

---

وضع مقدم خدمات الثقة المؤهل

ما هو مقدم خدمات الثقة بموجب eIDAS؟

تميز لائحة eIDAS رقم 910/2014 بين فئتين من مقدمي الخدمات: مقدمو خدمات الثقة غير المؤهلين ومقدمو الخدمات المؤهلون (PSCQ). يمكن للأولين تقديم خدمات التوقيع الإلكتروني البسيطة أو المتقدمة بدون تدقيق إلزامي من جهات خارجية. أما الثانيون — الوحيدون المصرحون بإصدار التوقيعات المؤهلة بموجب المادة 3(15) من eIDAS — فيجب أن يستوفوا متطلبات أكثر صرامة بكثير.

في فرنسا، الوكالة الوطنية لأمان أنظمة المعلومات (ANSSI) هي التي تقوم بدور سلطة الإشراف («الهيئة الإشرافية») المنصوص عليها في المادة 17 من eIDAS. تنشر وتحتفظ بقائمة الثقة الفرنسية (TSL — Trust Service List)، المتاحة على موقعها الرسمي، والتي تحتوي على قائمة مقدمي الخدمات المؤهلين وخدماتهم.

إجراء التأهيل: التدقيق والامتثال

للحصول على الوضع المؤهل، يجب على مقدم خدمات الثقة بالضرورة:

• إخضاع خدماته للتدقيق من قبل هيئة تقييم المطابقة (CAB — Conformity Assessment Body) المعتمدة من قبل COFRAC وفقاً للمعيار EN ISO/IEC 17065.

• تقديم تقرير التدقيق إلى ANSSI، التي تقرر منح الوضع المؤهل. يتم إعادة تقييم هذا الوضع كل 24 شهراً على الأقل (المادة 20 §1 من eIDAS).

• إخطار ANSSI بأي تغيير جوهري في خدماته خلال 3 أشهر قبل التغيير المخطط له (المادة 21 من eIDAS).

عدم الامتثال لهذه الخطوات يعرض مقدم الخدمة لإزالته من قائمة TSL وفقدان الافتراضات القانونية المرتبطة بالتوقيع المؤهل. بالنسبة للشركات العملاء، اللجوء إلى مقدم خدمات ثقة غير مدرج في TSL يعني عدم الاستفادة من أي افتراض قانوني بالموثوقية.

> لمزيد من المعلومات حول مستويات التوقيع المختلفة وآثارها القانونية، راجع مقالتنا.

---

الالتزامات التقنية والأمنية المفروضة على مقدمي خدمات الثقة

الامتثال لمعايير ETSI

يجب على مقدمي الخدمات المؤهلين الامتثال لمجموعة من المعايير الأوروبية التي نشرتها المعهد الأوروبي لمعايير الاتصالات (ETSI). الرئيسية منها:

• ETSI EN 319 401: متطلبات الأمان العامة المنطبقة على جميع مقدمي خدمات الثقة.

• ETSI EN 319 411-1 و 411-2: سياسات وممارسات السلطات المصدرة للشهادات التي تصدر شهادات التوقيع المؤهلة.

• ETSI EN 319 132: تنسيقات التوقيع الإلكتروني المتقدم (XAdES لـ XML و PAdES لـ PDF و CAdES لـ CMS).

• ETSI EN 319 122: تنسيق CAdES للتوقيعات المؤهلة.

• ETSI TS 119 431: متطلبات خدمات إنشاء التوقيع عن بعد (QSCD البعيد).

هذه المعايير ليست اختيارية: لائحة eIDAS (الملحق II و III و IV) تشير إليها بشكل صريح لتحديد المتطلبات الدنيا للشهادات المؤهلة وأجهزة إنشاء التوقيع.

إدارة أجهزة إنشاء التوقيع الآمنة المؤهلة (QSCD)

أحد الأساسيات في التوقيع المؤهل هو استخدام جهاز آمن لإنشاء التوقيع (QSCD — Qualified Signature Creation Device) متوافق مع الملحق II من eIDAS. يجب على مقدم الخدمة أن يضمن:

• أن المفتاح الخاص للموقع لا يمكن إنشاؤه أو تخزينه أو نسخه خارج جهاز QSCD.

• أن إنشاء المفتاح يتم حصرياً في بيئة معتمدة (شهادة معايير Common Criteria EAL 4+ أو ما يعادلها).

• أن مصادقة الموقع السابقة لأي عملية توقيع تعتمد على عاملي مصادقة على الأقل.

في سياق التوقيع عن بعد — الذي أصبح أكثر انتشاراً في البيئات القائمة على الخدمات السحابية — تنطبق هذه المتطلبات على خادم HSM (وحدة أمان الأجهزة) الذي يستضيف المفاتيح. نشرت ANSSI ملفات حماية محددة (PP-0075 و PP-0076) تحدد معايير الأمان المراد تحقيقها.

سياسة الاستمرارية والإخطار بالحوادث

تفرض المادة 19 من eIDAS على كل مقدم خدمات ثقة (مؤهل أو غير مؤهل):

• إخطار سلطة الإشراف (ANSSI) وحسب الحالة، سلطة حماية البيانات (CNIL) في غضون 24 ساعة من الكشف عن انتهاك أمني قد يؤثر على موثوقية الخدمة.

• الاحتفاظ بخطة موثقة واختبارة بانتظام لاستمرارية الأعمال.

• وجود سياسة موثقة لأمان المعلومات تغطي على الخصوص إدارة المخاطر وإدارة الحوادث وسياسة النسخ الاحتياطي.

تتقاطع هذه المتطلبات جزئياً مع توجيه NIS2 (2022/2555/الاتحاد الأوروبي)، المنقول إلى القانون الفرنسي بموجب القانون رقم 2023-703 الصادر في 1 أغسطس 2023، الذي يصنف مقدمي خدمات الثقة ذوي الحجم الكبير بين الكيانات المهمة أو الأساسية الخاضعة لالتزامات معززة للأمن السيبراني.

> اكتشف كيف يجب على الفريق القانوني دمج هذه القيود في سير عمل إدارة الوثائق.

---

التزامات RGPD المحددة لمقدمي خدمات الثقة

هل مقدم خدمات الثقة مسؤول معالجة أم معالج فرعي؟

يعتمد التصنيف RGPD لمقدم الخدمة على طبيعة الخدمة المقدمة:

• عندما يصدر مقدم خدمات الثقة شهادات مؤهلة مباشرة باسم الموقع ويحدد أغراض معالجة البيانات الشخصية (الهوية وبيانات المصادقة البيومترية)، يعمل كمسؤول معالجة بموجب المادة 4(7) من RGPD.

• عندما يدمج واجهة برمجة التطبيقات الخاصة به في منصة عميل B2B ويعالج البيانات الشخصية وفقاً لتعليمات هذا العميل فقط، يتخذ صفة معالج فرعي (المادة 4(8) من RGPD) ويجب عليه بالضرورة التوقيع على اتفاقية معالجة البيانات (DPA) متوافقة مع المادة 28 من RGPD.

في الممارسة العملية، يجمع معظم مقدمي خدمات الثقة القائمين على الخدمات السحابية بين الصفتين: مسؤول لإدارة البنية التحتية الخاصة بهم للشهادات، ومعالج فرعي لمعالجة الوثائق والبيانات الوصفية للموقعين.

التزامات محددة تتعلق بالبيانات البيومترية وبيانات الهوية

يتضمن تحديد هوية الموقع والتحقق منها — خطوة إلزامية لإصدار شهادة مؤهلة — في كثير من الأحيان معالجة بيانات حساسة: ماسح البطاقة الشخصية والصورة الذاتية بالفيديو وبيانات البيومترية الخاصة بالتعرف على الوجه. تشكل هذه البيانات بيانات شخصية تخضع لـ RGPD، بل قد تشكل بيانات بيومترية تندرج تحت المادة 9 من RGPD (فئات خاصة).

تتضمن التزامات مقدم خدمات الثقة:

• أساس قانوني: الموافقة الصريحة (المادة 9§2a) أو في بعض الحالات الالتزام القانوني (المادة 9§2b) لمعالجة البيانات البيومترية.

• مدة احتفاظ محدودة: وفقاً لتوصيات CNIL، يجب الاحتفاظ ببيانات التحديد بالقدر الضروري بدقة، عادة بما يتوافق مع مدة صلاحية الشهادة + مدة الإثبات القانونية (غالباً 10 سنوات للأعمال الموقعة بتوافق الأطراف، المادة 2224 من القانون المدني).

• تقييم التأثير (AIPD) إلزامي (المادة 35 من RGPD) متى كانت المعالجة قد تشكل خطراً مرتفعاً — وهو الحال بشكل منهجي بالنسبة للبيومترية.

• سجل المعالجات (المادة 30 من RGPD) محدث بانتظام وتوثيق كل فئة معالجة.

النقل الدولي للبيانات

يستضيف عدد كبير من مقدمي خدمات الثقة كل أو جزء من بنيتهم التحتية خارج المنطقة الاقتصادية الأوروبية (EEA). في هذه الحالة، تنطبق الضمانات المناسبة المطلوبة بموجب الفصل الخامس من RGPD: قرار الكفاية أو البنود التعاقدية النموذجية (SCCs) من المفوضية الأوروبية أو قواعد الشركات الملزمة (BCR). ذكر قرار Schrems II (محكمة العدل الأوروبية، C-311/18، 16 يوليو 2020) أن النقل إلى الولايات المتحدة يتطلب تحليل مخاطر الدول السابق.

> لفهم تأثير هذه القواعد على مؤسستك، راجع مقالتنا.

---

التزامات الشفافية والمعلومات للمستخدمين

سياسة الشهادات (PC) وإعلان ممارسات الشهادات (DPC)

يتعين على كل مقدم خدمات ثقة يصدر شهادات نشر سياسة الشهادات (PC) وإعلان ممارسات الشهادات (DPC) وفقاً للمعيار ETSI EN 319 411. تفصل هذه الوثائق المتاحة بحرية:

• إجراءات تحديد هوية وتسجيل الموقعين.

• التدابير الأمنية المادية واللوجستية المنشورة.

• شروط إلغاء الشهادات والمدد المرتبطة بها.

• مسؤوليات وقيود ضمان مقدم خدمات الثقة.

يشكل غياب أو عدم اكتمال هذه الوثائق عدم امتثال يمكن الإشارة إليه أثناء تدقيق إعادة التأهيل من قبل الهيئة المعتمدة.

المعلومات السابقة للعقد والعقدية للعملاء

بعيداً عن الالتزامات البحتة التقنية، تفرض المادة 13 من RGPD على مقدم خدمات الثقة تقديم معلومات واضحة وسهلة الوصول لكل شخص يتم جمع البيانات منه:

• هوية مسؤول المعالجة وبيانات اتصال مسؤول حماية البيانات (إلزامي لمقدمي خدمات الثقة الذين يعالجون بنطاق واسع البيانات الحساسة، المادة 37 من RGPD).

• أغراض وأسس كل معالجة قانونية.

• حقوق الأشخاص (الوصول والتصحيح والحذف والنقل والمعارضة).

• المستقبلون المحتملون للبيانات (معالجو فرعيون وسلطات).

يجب أن تظهر هذه المعلومات في سياسة الخصوصية للخدمة وفي شروط الاستخدام وحسب الحالة في اتفاقية معالجة البيانات المبرمة مع العملاء المحترفين.

الطابع الزمني المؤهل وسجل التدقيق

لضمان القيمة الإثباتية على المدى الطويل للتوقيعات، يقوم مقدمو خدمات الثقة الجادون بربط الطابع الزمني الإلكتروني المؤهل (المادة 42 من eIDAS) بشكل منهجي بكل عملية موقعة. يشكل هذا الطابع دليلاً قانونياً مفترضاً على وجود البيانات في التاريخ المحدد. يعتبر الاحتفاظ بسجل التدقيق (سجلات التحديد وبصمة الوثيقة وبيانات التوقيع) التزاماً فعلياً للسماح بأي تحقق قضائي لاحق.

> قارن حلول السوق وفقاً لهذه المعايير في مقالتنا.

---

eIDAS 2.0: الالتزامات الجديدة في الأفق 2026-2027

لائحة eIDAS 2.0 (EU) 2024/1183

نُشرت في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024، وتعزز لائحة (الاتحاد الأوروبي) 2024/1183 المسماة «eIDAS 2.0» بشكل كبير التزامات مقدمي خدمات الثقة حول ثلاثة محاور:

• محفظة الهوية الرقمية الأوروبية (EUDI Wallet): يجب على الدول الأعضاء توفير محفظة هوية رقمية معتمدة بحلول 2 نوفمبر 2026. يجب على مقدمي خدمات الثقة دمج خدماتهم مع هذه المحفظة لتقديم توقيعات مؤهلة عبر هوية eIDAS 2.0.

• إدارة شهادات الصفات: يُدخل eIDAS 2.0 شهادات الصفات المؤهلة (QEAAs) التي يصدرها مقدمو خدمات الشهادات المؤهلون. ستنطبق إجراءات تدقيق وتأهيل جديدة.

• تعزيز الإشراف: تشهد سلطات الإشراف الوطنية (ANSSI بالنسبة لفرنسا) توسيع صلاحياتها بما يشمل خاصة القدرة على إجراء عمليات تدقيق مفاجئة وفرض تدابير تصحيحية ملزمة في آجال مختصرة.

الآثار العملية على مقدمي الخدمات الحاليين

يجب على مقدمي خدمات الثقة المؤهلين بالفعل تحت eIDAS 1.0 المتابعة بشكل تدريجي للامتثال قبل المواعيد النهائية المحددة من قبل الأعمال التنفيذية للمفوضية (المنشورة أو قيد الإعداد). تتعلق التعديلات الرئيسية بـ:

• إعادة تصميم البنية التحتية للتحديد لدعم محفظة الهوية الأوروبية كوسيلة مصادقة.

• تحديث سياسات الشهادات (PC/DPC) لدمج أنواع الشهادات والشهادات الجديدة.

• تعزيز متطلبات أمان أجهزة QSCD البعيدة مع ملفات حماية جديدة قيد التطوير.

بالنسبة للشركات العملاء، يعني هذا التحقق من اليوم من أن مقدم الخدمة لديه خارطة طريق موثقة وقابلة للتحقق من الامتثال eIDAS 2.0.

الإطار القانوني المنطبق على التزامات مقدمي خدمات التوقيع الإلكتروني

يرتكز السلسلة التنظيمية المنطبقة على مقدمي خدمات التوقيع الإلكتروني العاملين في فرنسا على عدة مستويات هرمية متكاملة.

القانون المدني الفرنسي — المواد 1366 و 1367

تعترف المادة 1366 من القانون المدني بالنص الإلكتروني كوسيلة إثبات معادلة للنص الورقي بشرط أن «يمكن تحديد الشخص الذي يصدر عنه بشكل صحيح وأنه تم إنشاؤه والاحتفاظ به بطريقة تضمن سلامته». تحدد المادة 1367 أن التوقيع الإلكتروني «يتكون من استخدام عملية موثوقة لتحديد الهوية تضمن ارتباطه بالعمل المرفق به». تستفيد التوقيعات المؤهلة بموجب eIDAS من افتراض الموثوقية، مما يعكس عبء الإثبات لصالح الموقع.

لائحة eIDAS رقم 910/2014/الاتحاد الأوروبي

تقر هذه اللائحة، ذات التطبيق المباشر في جميع الدول الأعضاء، بالإطار القانوني لخدمات الثقة. تحدد المادة 26 شروط التوقيع الإلكتروني المتقدم؛ المادة 28 متطلبات الشهادات المؤهلة؛ الملحق الأول يفصل المحتوى الإلزامي لهذه الشهادات. يستفيد مقدمو خدمات الثقة المؤهلون من افتراض التوافق مع متطلبات اللائحة التقنية والقانونية (المادة 19§2)، وهو ما يشكل ميزة كبيرة في حالة نزاع.

لائحة eIDAS 2.0 — (الاتحاد الأوروبي) 2024/1183

نُشرت في 30 أبريل 2024، تدخل هذه اللائحة المعدلة فئات جديدة من خدمات الثقة (شهادات الصفات المؤهلة وخدمات الحفظ المؤهلة) وتعزز التزامات الإشراف. تلغي وتحل محل جزئياً لائحة 910/2014 مع قابلية التطبيق التدريجية وفقاً للأعمال التنفيذية للمفوضية الأوروبية.

RGPD — اللائحة (الاتحاد الأوروبي) 2016/679

ينطبق RGPD على أي معالجة للبيانات الشخصية تتم في سياق خدمة التوقيع الإلكتروني. تشكل المواد 5 (مبادئ الشرعية) و 6 (الأساس القانوني) و 9 (البيانات الحساسة) و 13-14 (المعلومات) و 28 (المعالجة الفرعية) و 32 (الأمان) و 33-34 (إخطار الانتهاك) و 35 (تقييم التأثير) و 37 (مسؤول حماية البيانات) أكثر الأحكام المنطبقة عادة. تعتبر CNIL هي السلطة الرقابية المختصة في فرنسا ويمكنها فرض غرامات تصل إلى 20 مليون يورو أو 4٪ من رقم الأعمال السنوي العالمي (المادة 83§5 من RGPD).

توجيه NIS2 — (الاتحاد الأوروبي) 2022/2555

نُقل إلى القانون الفرنسي بموجب القانون رقم 2023-703 الصادر في 1 أغسطس 2023، يصنف NIS2 مقدمي خدمات الثقة ذوي الحجم الكبير من بين الكيانات المهمة أو الأساسية الخاضعة لالتزامات إدارة مخاطر الأمن السيبراني وإخطار الحوادث إلى ANSSI في غضون 24 ساعة (تنبيه مبكر) ثم 72 ساعة (إخطار كامل).

معايير ETSI

تشكل مجموعة المعايير EN 319 401 و EN 319 411-1/2 و EN 319 132 و EN 319 122 و TS 119 431 المرجع التقني الإلزامي لتدقيق التأهيل. عدم الامتثال لها يؤدي إلى استحالة الحصول على أو الحفاظ على وضع التأهيل.

المخاطر القانونية في حالة عدم الامتثال

يتعرض مقدم الخدمة غير المتوافق لـ: إزالة من قائمة TSL الفرنسية، تحمل المسؤولية التعاقدية وغير التعاقدية، عقوبات إدارية CNIL، غرامات NIS2 قد تصل إلى 10 ملايين يورو أو 2٪ من الإيرادات السنوية العالمية للكيانات المهمة و 20 مليون أو 4٪ من الإيرادات للكيانات الأساسية، فضلاً عن إجراءات قضائية من العملاء الذين أصيبوا بضرر