التزامات مقدم خدمات التوقيع الإلكتروني في فرنسا

المقدمة

نشر حل التوقيع الإلكتروني في فرنسا ليس أمرًا يمكن ارتجاله. وراء كل توقيع مؤهل أو متقدم تختبئ عشرات الالتزامات القانونية التي تقع على عاتق مقدم خدمات الثقة (PSCo). نظام eIDAS والقانون العام لحماية البيانات (RGPD) والإطار المرجعي العام للأمن ومعايير ETSI... الإطار التنظيمي كثيف وديناميكي في نفس الوقت. بالنسبة للشركات المستخدمة، يعد فهم التزامات مقدم خدمات التوقيع الإلكتروني القانونية في فرنسا eIDAS RGPD أمرًا لا غنى عنه لاختيار شريك متوافق وتجنب أي مخاطر قانونية. تفصل هذه المقالة، قسمًا تلو الآخر، جميع المتطلبات المعمول بها على مقدمي خدمات الثقة العاملين على الأراضي الفرنسية.

---

وضع مقدم خدمات الثقة المؤهل

ما هو مقدم خدمات الثقة بموجب eIDAS؟

يميز نظام eIDAS رقم 910/2014 بين فئتين من مقدمي الخدمات: مقدمو خدمات الثقة غير المؤهلين و المؤهلون (PSCQ). يمكن للفئة الأولى تقديم خدمات التوقيع الإلكتروني البسيطة أو المتقدمة بدون تدقيق إلزامي من طرف ثالث. أما الثانية — والمصرح لها فقط بتوصيل التوقيعات المؤهلة بموجب المادة 3(15) من eIDAS — فيجب أن تفي بمتطلبات أكثر صرامة بكثير.

في فرنسا، الوكالة الوطنية لأمن أنظمة المعلومات (ANSSI) هي التي تضطلع بدور سلطة الإشراف ("Supervisory Body") المنصوص عليها في المادة 17 من eIDAS. تنشر وتحتفظ بقائمة الثقة الفرنسية (TSL — قائمة خدمات الثقة)، المتاحة على موقعها الرسمي، وتتضمن مقدمي الخدمات المؤهلين وخدماتهم.

إجراء التأهيل: التدقيق والامتثال

للحصول على الوضع المؤهل، يجب على مقدم خدمات الثقة بالضرورة:

• الحصول على تدقيق لخدماته من قبل هيئة تقييم المطابقة (CAB — Conformity Assessment Body) معتمدة من قبل COFRAC وفقًا للمعيار EN ISO/IEC 17065.

• تقديم تقرير التدقيق إلى ANSSI، التي تحدد منح الوضع المؤهل من عدمه. يتم إعادة تقييم هذا الوضع على الأقل كل 24 شهرًا (المادة 20 §1 eIDAS).

• إخطار ANSSI بأي تغيير جوهري في خدماته في غضون 3 أشهر قبل التعديل المخطط (المادة 21 eIDAS).

عدم الامتثال لهذه الخطوات يعرض مقدم الخدمة لـ الحذف من قائمة TSL وفقدان الافتراضات القانونية المتعلقة بالتوقيع المؤهل. بالنسبة للشركات العميلة، اللجوء إلى مقدم خدمات ثقة غير مدرج في قائمة TSL يعادل عدم الاستفادة من أي افتراض قانوني بشأن الموثوقية.

> لمزيد من المعلومات حول مستويات التوقيع المختلفة وتأثيراتها القانونية، راجع الدليل الشامل لنظام eIDAS 2.0.

---

الالتزامات التقنية والأمان المفروضة على مقدمي خدمات الثقة

الامتثال لمعايير ETSI

يجب على مقدمي الخدمات المؤهلين الامتثال لمجموعة من المعايير الأوروبية التي ينشرها معهد المعايير الأوروبي للاتصالات (ETSI). أهمها:

• ETSI EN 319 401: متطلبات أمان عامة قابلة للتطبيق على جميع مقدمي خدمات الثقة.

• ETSI EN 319 411-1 و 411-2: سياسات وممارسات سلطات إصدار الشهادات التي تصدر شهادات التوقيع المؤهلة.

• ETSI EN 319 132: تنسيقات التوقيع الإلكتروني المتقدم (XAdES لـ XML و PAdES لـ PDF و CAdES لـ CMS).

• ETSI EN 319 122: تنسيق CAdES للتوقيعات المؤهلة.

• ETSI TS 119 431: متطلبات خدمات إنشاء التوقيع عن بعد (QSCD البعيد).

هذه المعايير ليست اختيارية: يشير نظام eIDAS (الملحق الثاني والثالث والرابع) صراحة إليها لتحديد الحد الأدنى من متطلبات الشهادات المؤهلة والأجهزة الموثوقة لإنشاء التوقيع.

إدارة أجهزة إنشاء التوقيع الموثوقة (QSCD)

أحد دعائم التوقيع المؤهل هو استخدام جهاز موثوق لإنشاء التوقيع (QSCD — Qualified Signature Creation Device) يتوافق مع الملحق الثاني من eIDAS. يجب على مقدم الخدمة ضمان ما يلي:

• المفتاح الخاص لموقع التوقيع لا يمكن توليده أو تخزينه أو نسخه خارج جهاز QSCD.

• يتم توليد المفتاح حصريًا في بيئة معتمدة (شهادة Common Criteria EAL 4+ أو ما يعادلها).

• التحقق من هوية الموقع السابق لأي عملية توقيع يعتمد على عاملي تحقق على الأقل.

في سياق التوقيع عن بعد — الذي أصبح أكثر انتشارًا في بيئات SaaS — تنطبق هذه المتطلبات على خادم HSM (وحدة الأمان الموثوقة) التي تستضيف المفاتيح. نشرت ANSSI ملفات حماية محددة (PP-0075 و PP-0076) تحدد معايير الأمان التي يجب تحقيقها.

سياسة الاستمرارية وإخطار الحوادث

تفرض المادة 19 من eIDAS على أي مقدم خدمات ثقة (مؤهل أو لا) ما يلي:

• إخطار سلطة الإشراف (ANSSI) وفي حالتها، سلطة حماية البيانات (CNIL)، في غضون 24 ساعة بعد اكتشاف انتهاك أمني قد يؤثر على موثوقية الخدمة.

• الاحتفاظ بـ خطة استمرارية العمل موثقة واختبرت بانتظام.

• وجود سياسة أمان المعلومات رسمية، تغطي تحديدًا إدارة المخاطر وإدارة الحوادث وسياسة النسخ الاحتياطي.

تتقاطع هذه المتطلبات جزئيًا مع متطلبات التوجيه NIS2 (2022/2555/UE)، الذي تم نقله إلى القانون الفرنسي بموجب القانون رقم 2023-703 المؤرخ 1 أغسطس 2023، والذي يصنف مقدمي خدمات الثقة ذوي الحجم الكبير من بين الكيانات المهمة أو الأساسية الخاضعة لالتزامات معززة في مجال الأمن السيبراني.

> اكتشف كيفية أن التوقيع الإلكتروني للمكاتب القانونية يجب أن يدمج هذه القيود في مسارات سير عملها الموثقة.

---

التزامات RGPD المحددة لمقدمي خدمات الثقة

هل مقدم خدمات الثقة مسؤول معالجة أم معالج بيانات؟

يعتمد تصنيف RGPD لمقدم الخدمة على طبيعة الخدمة المقدمة:

• عندما يصدر شهادات مؤهلة مباشرة باسم الموقع ويحدد غايات معالجة البيانات الشخصية (الهوية وبيانات المصادقة البيومترية)، يتصرف كـ مسؤول معالجة بموجب المادة 4(7) من RGPD.

• عندما يدمج واجهة برمجتها في منصة عميل B2B ويعالج البيانات الشخصية وفقًا لتعليمات هذا العميل فقط، فإنه يتولى دور معالج البيانات (المادة 4(8) من RGPD) ويجب عليه إبرام DPA (اتفاقية معالجة البيانات) متوافقة مع المادة 28 من RGPD.

في الممارسة العملية، يجمع معظم مقدمي خدمات الثقة في بيئات SaaS بين الدورين: مسؤول معالجة لإدارة البنية الأساسية الخاصة بهم للشهادات، ومعالج بيانات لمعالجة المستندات والبيانات الوصفية للموقعين.

التزامات محددة تتعلق بالبيانات البيومترية وبيانات الهوية

يتطلب تحديد الهوية والمصادقة للموقع — الخطوة الإلزامية لإصدار شهادة مؤهلة — غالبًا معالجة بيانات حساسة: مسح للهوية وصور سيلفي فيديو وبيانات بيومترية للتعرف على الوجه. تشكل هذه البيانات بيانات شخصية خاضعة لـ RGPD، أو حتى بيانات بيومترية تندرج تحت المادة 9 من RGPD (فئات خاصة).

تشمل التزامات مقدم خدمات الثقة:

• الأساس القانوني: الموافقة الصريحة (المادة 9§2a) أو في بعض الحالات الالتزام القانوني (المادة 9§2b) لمعالجة البيانات البيومترية.

• مدة الاحتفاظ محدودة: وفقًا لخطوط CNIL الإرشادية، يجب الاحتفاظ ببيانات الهوية للوقت الضروري بدقة، وعادة ما يتم مواءمتها مع مدة صلاحية الشهادة + مدة الحفظ القانوني (غالبًا 10 سنوات للتصرفات بين الأفراد، المادة 2224 من القانون المدني).

• تقييم الأثر (AIPD) إلزامي (المادة 35 من RGPD) في أي وقت قد تؤدي فيه المعالجة إلى خطر مرتفع — وهو الحال بشكل منهجي للبيومتريا.

• سجل المعالجات (المادة 30 من RGPD) محفوظ ومحدث موثقًا لكل فئة معالجة.

النقل الدولي للبيانات

من الشائع أن يقوم العديد من مقدمي خدمات الثقة باستضافة كل أو جزء من بنيتهم التحتية خارج منطقة المنطقة الاقتصادية الأوروبية (EEE). في هذه الحالة، تفرض الحماية المناسبة المطلوبة بموجب الفصل الخامس من RGPD: قرار الكفاية أو بنود العقد النموذجية (SCCs) من المفوضية الأوروبية أو قواعد الشركة الملزمة (BCR). ذكّرت قضية Schrems II (محكمة العدل الأوروبية، C-311/18، 16 يوليو 2020) أن النقل إلى الولايات المتحدة يتطلب تحليل مخاطر سابق على مستوى الدول.

> لفهم تأثير هذه القواعد على مؤسستك، راجع دليلنا حول التوقيع الإلكتروني في المؤسسة.

---

التزامات الشفافية والإفصاح للمستخدمين

سياسة الشهادات (PC) وإعلان ممارسات الشهادات (DPC)

يُلزم أي مقدم خدمات ثقة يصدر شهادات بنشر سياسة الشهادات (PC) و إعلان ممارسات الشهادات (DPC)، وفقًا للمعيار ETSI EN 319 411. توضح هذه الوثائق، المتاحة بحرية:

• إجراءات التعرف على الموقعين والتسجيل.

• الإجراءات الأمنية البدنية والمنطقية المطبقة.

• شروط إلغاء الشهادات والآجال المرتبطة بها.

• مسؤوليات وتحديدات ضمانات مقدم الخدمة.

يشكل عدم وجود أو عدم اكتمال هذه الوثائق عدم امتثال قد يتم تحديده أثناء تدقيق إعادة التأهيل من قبل الهيئة المعتمدة.

المعلومات السابقة للعقد والعقدية للعملاء

بصرف النظر عن الالتزامات البحتة التقنية، تفرض المادة 13 من RGPD على مقدم خدمات الثقة تقديم معلومات واضحة وسهلة الوصول إليها لكل شخص يتم جمع بيانات له حول:

• هوية مسؤول المعالجة وتفاصيل الاتصال بمسؤول حماية البيانات (إلزامي لمقدمي خدمات الثقة الذين يعالجون على نطاق واسع بيانات حساسة، المادة 37 من RGPD).

• الغايات والأسس القانونية لكل معالجة.

• حقوق الأشخاص (الوصول والتصحيح والحذف والنقل والمعارضة).

• المستقبلون المحتملون للبيانات (معالجو البيانات والسلطات).

يجب أن تظهر هذه المعلومات في سياسة الخصوصية للخدمة وفي الشروط العامة والأحكام وإن أمكن في DPA المبرمة مع العملاء المحترفين.

الطابع الزمني المؤهل وتتبع الأنشطة

لضمان القيمة الإثباتية على المدى الطويل للتوقيعات، يرتبط مقدمو خدمات الثقة الموثوقون بشكل منهجي بـ طابع زمني إلكتروني مؤهل (المادة 42 من eIDAS) لكل عملية موقعة. يشكل هذا الطابع الزمني دليلًا يُفترض قانونًا على وجود البيانات في التاريخ المشار إليه. يعتبر الاحتفاظ بـ سجل الأنشطة (سجلات التعرف والبصمة الرقمية للمستند وبيانات التوقيع) التزامًا فعليًا للسماح بأي تحقق قضائي لاحق.

> قارن الحلول المتاحة في السوق وفقًا لهذه المعايير في المقارنة بين حلول التوقيع الإلكتروني.

---

eIDAS 2.0: الالتزامات الجديدة في الأفق 2026-2027

نظام eIDAS 2.0 (UE) 2024/1183

نُشر في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024، يعزز نظام (UE) 2024/1183 المسمى "eIDAS 2.0" بشكل كبير التزامات مقدمي خدمات الثقة حول ثلاثة محاور:

• محفظة الهوية الرقمية الأوروبية (EUDI Wallet): يجب على الدول الأعضاء توفير محفظة هوية رقمية معتمدة بحلول 2 نوفمبر 2026. يجب على مقدمي خدمات الثقة دمج خدمتهم مع هذه المحفظة لتقديم توقيعات مؤهلة عبر هوية eIDAS 2.0.

• إدارة شهادات السمات: يقدم eIDAS 2.0 شهادات السمات المؤهلة (QEAAs) الصادرة عن مقدمي خدمات معتمدين لإصدار شهادات السمات. ستنطبق إجراءات تدقيق وتأهيل جديدة.

• تعزيز الإشراف: تتسع سلطات الإشراف الوطنية (ANSSI بالنسبة لفرنسا) اختصاصاتها، خاصة القدرة على تنفيذ عمليات تدقيق مفاجئة وفرض تدابير تصحيحية إلزامية في آجال قصيرة.

الآثار العملية لمقدمي الخدمات الحاليين

يجب على مقدمي خدمات الثقة المؤهلين بالفعل بموجب eIDAS 1.0 المضي قدمًا في توافقية تدريجية قبل الآجال المحددة في أعمال تنفيذية من المفوضية (المنشورة أو قيد النشر). تتعلق التعديلات الرئيسية بـ:

• إعادة تصميم البنية الأساسية للتعرف لدعم محفظة EUDI كوسيلة للمصادقة.

• تحديث PC/DPC لتضمين فئات الشهادات والشهادات الجديدة.

• تعزيز متطلبات الأمان للأجهزة البعيدة QSCD، مع ملفات حماية جديدة قادمة.

بالنسبة للشركات العميلة، هذا يعني التحقق من أن مقدم الخدمة لديه خطة عمل موثقة وقابلة للتحقق لامتثال eIDAS 2.0 بالفعل.

الإطار القانوني المعمول به على الالتزامات الخاصة بمقدمي خدمات التوقيع الإلكتروني

يتم تنظيم السلسلة المعيارية المعمول بها على مقدمي خدمات التوقيع الإلكتروني العاملين في فرنسا على عدة مستويات هرمية متكاملة.

القانون المدني الفرنسي — المواد 1366 و1367

تعترف المادة 1366 من القانون المدني بالكتابة الإلكترونية كوسيلة إثبات معادلة للكتابة الورقية، بشرط أن "يمكن تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وتم إنشاؤها والاحتفاظ بها في ظروف من شأنها أن تضمن سلامتها". توضح المادة 1367 أن التوقيع الإلكتروني "يتكون من استخدام عملية موثوقة للتعرف تضمن ارتباطه بالعمل الذي يرتبط به". تستفيد افتراضات الموثوقية من التوقيعات المؤهلة بموجب eIDAS، مما يعكس عبء الإثبات لصالح الموقع.

نظام eIDAS رقم 910/2014/UE

يؤسس هذا النظام، القابل للتطبيق المباشر في جميع الدول الأعضاء، الإطار القانوني لخدمات الثقة. تحدد المادة 26 شروط التوقيع الإلكتروني المتقدم؛ والمادة 28 متطلبات الشهادات المؤهلة؛ والملحق الأول محتوى الشهادات الإلزامي. يستفيد مقدمو خدمات الثقة المؤهلون من افتراض الامتثال لمتطلبات النظام التقنية والقانونية (المادة 19§2)، مما يشكل ميزة كبيرة في حالة النزاع.

نظام eIDAS 2.0 — (UE) 2024/1183

نُشر في 30 أبريل 2024، يقدم هذا النظام المعدّل فئات جديدة من خدمات الثقة (شهادات السمات المؤهلة وخدمات الأرشفة المؤهلة) ويعزز التزامات الإشراف. ينسخ ويحل محل جزئيًا نظام 910/2014، مع قابلية تطبيق تدريجية وفقًا لأعمال تنفيذية من المفوضية الأوروبية.

RGPD — النظام (UE) 2016/679

ينطبق RGPD على أي معالجة بيانات شخصية تتم في سياق خدمة التوقيع الإلكتروني. تشكل المواد 5 (مبادئ الشرعية) و6 (الأساس القانوني) و9 (البيانات الحساسة) و13-14 (المعلومات) و28 (معالجة البيانات) و32 (الأمان) و33-34 (إخطار الانتهاك) و35 (AIPD) و37 (مسؤول حماية البيانات) الأحكام الأكثر قابلية للتطبيق بشكل متكرر. تشكل CNIL سلطة الإشراف المختصة في فرنسا ويمكنها فرض غرامات تصل إلى 20 مليون يورو أو 4٪ من رقم الأعمال العالمي السنوي (المادة 83§5 من RGPD).

التوجيه NIS2 — (UE) 2022/2555

نُقل إلى القانون الفرنسي بموجب القانون رقم 2023-703 المؤرخ 1 أغسطس 2023، يصنف NIS2 مقدمي خدمات الثقة ذوي الحجم الكبير من بين الكيانات المهمة أو الأساسية الخاضعة لالتزامات إدارة مخاطر الأمن السيبراني وإخطار الحوادث إلى ANSSI في غضون 24 ساعة (تنبيه مبكر) ثم 72 ساعة (إخطار كامل).

معايير ETSI

يشكل مجمل معايير EN 319 401 و EN 319 411-1/2 و EN 319 132 و EN 319 122 و TS 119 431 المرجع التقني الإلزامي لتدقيق التأهيل. عدم الامتثال لها يؤدي إلى عدم الحصول على أو الحفاظ على وضع التأهيل.

**المخاطر القانونية عند ع