التزامات مقدم خدمات التوقيع الإلكتروني في فرنسا

مقدمة

نشر حل التوقيع الإلكتروني في فرنسا لا يتم بشكل ارتجالي. خلف كل توقيع مؤهل أو متقدم تختفي عشرات الالتزامات القانونية التي تقع على عاتق مقدم خدمات الثقة (PSCo). اللائحة eIDAS، RGPD، المرجعي العام للأمان، معايير ETSI... الإطار التنظيمي كثيف وديناميكي في نفس الوقت. بالنسبة للمؤسسات المستخدمة، فهم هذه الالتزامات القانونية لمقدم خدمات التوقيع الإلكتروني في فرنسا eIDAS RGPD أمر حتمي لاختيار شريك متوافق وتجنب أي مخاطر قانونية. توضح هذه المقالة، قسمًا تلو الآخر، كل المتطلبات المنطبقة على PSCo العاملة في الأراضي الفرنسية.

---

مركز مقدم خدمات الثقة المؤهل

ما هو PSCo بموجب eIDAS؟

يميز نظام eIDAS رقم 910/2014 بين فئتين من مقدمي الخدمات: مقدمي خدمات الثقة غير المؤهلين والمقدمون المؤهلون (PSCQ). يمكن للأول تقديم خدمات التوقيع الإلكتروني البسيطة أو المتقدمة دون تدقيق إجباري من طرف ثالث. أما الثانيون — الوحيدون المصرحون بإصدار توقيعات مؤهلة بموجب المادة 3(15) من eIDAS — يجب أن يستوفوا متطلبات أكثر صرامة بكثير.

في فرنسا، تقوم وكالة الأمن القومي لأنظمة المعلومات (ANSSI) بدور سلطة الإشراف ("Supervisory Body") المنصوص عليها في المادة 17 من eIDAS. تنشر وتحتفظ بقائمة الثقة الفرنسية (TSL — Trust Service List)، المتاحة على موقعها الرسمي، التي تسرد مقدمي الخدمات المؤهلين وخدماتهم.

إجراء التأهيل: التدقيق والامتثال

لكي يحصل PSCo على المركز المؤهل، يجب عليه بالضرورة:

• إجراء تدقيق لخدماته بواسطة هيئة تقييم الامتثال (CAB — Conformity Assessment Body) معتمدة من قبل COFRAC وفقًا للمعيار EN ISO/IEC 17065.

• تقديم تقرير التدقيق إلى ANSSI، التي تقرر منح المركز المؤهل. يتم إعادة تقييم هذا المركز كل 24 شهرًا على الأقل (المادة 20 §1 من eIDAS).

• إخطار ANSSI بأي تغيير جوهري في خدماته في غضون 3 أشهر قبل التعديل المخطط له (المادة 21 من eIDAS).

يعرض عدم احترام هذه الخطوات مقدم الخدمة لحذفه من TSL وفقدان الافتراضات القانونية المرتبطة بالتوقيع المؤهل. بالنسبة للشركات العملاء، استخدام PSCo غير مدرج على TSL يعادل عدم الاستفادة من أي افتراض قانوني بالموثوقية.

> لمزيد من المعلومات حول المستويات المختلفة للتوقيع وآثارها القانونية، راجع دليلنا.

---

الالتزامات التقنية والأمان المفروضة على PSCo

الامتثال لمعايير ETSI

يجب على مقدمي الخدمات المؤهلين الامتثال لمجموعة من معايير أوروبا التي نشرتها المعهد الأوروبي لمعايير الاتصالات (ETSI). الرئيسية منها:

• ETSI EN 319 401: متطلبات الأمان العامة المنطبقة على جميع PSCo.

• ETSI EN 319 411-1 و 411-2: سياسات وممارسات السلطات المصدرة للشهادات التي تصدر شهادات التوقيع المؤهلة.

• ETSI EN 319 132: تنسيقات التوقيع الإلكتروني المتقدم (XAdES لـ XML، PAdES لـ PDF، CAdES لـ CMS).

• ETSI EN 319 122: تنسيق CAdES للتوقيعات المؤهلة.

• ETSI TS 119 431: المتطلبات الخاصة بخدمات إنشاء التوقيع عن بعد (QSCD البعيد).

هذه المعايير ليست اختيارية: ينص اللائحة eIDAS (الملحق II و III و IV) عليها بشكل صريح لتحديد المتطلبات الدنيا للشهادات المؤهلة وأجهزة إنشاء التوقيع.

إدارة الأجهزة الآمنة لإنشاء التوقيع (QSCD)

أحد الأعمدة الأساسية للتوقيع المؤهل هو استخدام جهاز آمن لإنشاء التوقيع (QSCD — Qualified Signature Creation Device) يتوافق مع الملحق II من eIDAS. يجب على مقدم الخدمة ضمان:

• لا يمكن إنشاء المفتاح الخاص للموقِّع أو تخزينه أو نسخه خارج QSCD.

• يتم إنشاء المفتاح حصريًا في بيئة معتمدة (شهادة معايير Common Criteria EAL 4+ أو ما يعادلها).

• يعتمد التحقق من هوية الموقِّع السابق لأي عملية توقيع على عاملي مصادقة على الأقل.

في سياق التوقيع البعيد — الذي أصبح شائعًا بشكل متزايد في بيئات SaaS — تنطبق هذه المتطلبات على خادم HSM (وحدة أمان الأجهزة) الذي يستضيف المفاتيح. نشرت ANSSI ملفات حماية محددة (PP-0075، PP-0076) تحدد معايير الأمان المراد تحقيقها.

سياسة الاستمرارية وإخطار الحوادث

تفرض المادة 19 من eIDAS على جميع مقدمي خدمات الثقة (المؤهلين أو غير المؤهلين):

• إخطار سلطة الإشراف (ANSSI) و، حسب الاقتضاء، سلطة حماية البيانات (CNIL)، في غضون 24 ساعة من كشف انتهاك أمني قد يؤثر على موثوقية الخدمة.

• الاحتفاظ بخطة استمرارية موثقة واختبرت بانتظام.

• وضع سياسة أمان معلومات رسمية، تغطي بخاصة إدارة المخاطر وإدارة الحوادث وسياسة النسخ الاحتياطي.

تتقاطع هذه المتطلبات جزئيًا مع تلك الخاصة بتوجيه NIS2 (2022/2555/EU)، المنقولة إلى القانون الفرنسي بموجب القانون رقم 2023-703 بتاريخ 1 أغسطس 2023، الذي يصنف PSCo ذات الحجم الكبير من بين الكيانات المهمة أو الحيوية الخاضعة لالتزامات معززة بشأن الأمن السيبراني.

> اكتشف كيف يجب أن تدمج الحلول المتوافقة هذه القيود في سير العمل الخاص بها.

---

التزامات RGPD الخاصة بـ PSCo

هل PSCo مسؤول معالجة أم معالج فرعي؟

يعتمد تصنيف RGPD لمقدم الخدمة على طبيعة الخدمة المقدمة:

• عندما يصدر PSCo شهادات مؤهلة مباشرة باسم الموقِّع ويحدد أغراض معالجة البيانات الشخصية (الهوية، بيانات المصادقة البيومترية)، فإنه يتصرف كمسؤول معالجة بموجب المادة 4(7) من RGPD.

• عندما يدمج واجهته البرمجية في منصة عميل B2B ويعالج البيانات الشخصية وفقًا لتعليمات هذا العميل فقط، فإنه يتخذ دور معالج فرعي (المادة 4(8) من RGPD) ويجب عليه إبرام اتفاقية معالجة البيانات (DPA) متوافقة مع المادة 28 من RGPD.

عمليًا، يجمع معظم PSCo SaaS بين الصفتين: مسؤول لإدارة بنيتها الخاصة للشهادات، معالج فرعي لمعالجة المستندات والبيانات الوصفية للموقِّعين.

الالتزامات المحددة المتعلقة بالبيانات البيومترية وبيانات الهوية

يتطلب تحديد هوية الموقِّع والتحقق منها — خطوة إجبارية لإصدار شهادة مؤهلة — غالبًا معالجة بيانات حساسة: مسح بطاقة الهوية، فيديو سيلفي، بيانات بيومترية لتقنية التعرف على الوجه. تشكل هذه البيانات بيانات شخصية تخضع لـ RGPD، أو حتى بيانات بيومترية تندرج تحت المادة 9 من RGPD (فئات خاصة).

تشمل التزامات PSCo:

• الأساس القانوني: الموافقة الصريحة (المادة 9§2a) أو، في بعض الحالات، الالتزام القانوني (المادة 9§2b) لمعالجة البيانات البيومترية.

• مدة الاحتفاظ محدودة: وفقًا لإرشادات CNIL، يجب الاحتفاظ ببيانات التعريف للفترة الضرورية فقط، عادةً محاذاة مع مدة صلاحية الشهادة + المدة القانونية للإثبات (غالبًا 10 سنوات للأعمال الخاصة، المادة 2224 من القانون المدني).

• تقييم الأثر (AIPD) إجباري (المادة 35 من RGPD) طالما أن المعالجة قد تؤدي إلى مخاطر عالية — وهو ما يكون حالة منتظمة للبيومترية.

• سجل المعالجات (المادة 30 من RGPD) محدّث ويوثق كل فئة معالجة.

التحويلات الدولية للبيانات

هناك عدد من PSCo يستضيفون كل أو جزء من بنيتهم الأساسية خارج المنطقة الاقتصادية الأوروبية (EEA). في هذه الحالة، تنطبق الضمانات المناسبة المطلوبة بموجب الفصل الخامس من RGPD: قرار الكفاية، الشروط التعاقدية القياسية (SCCs) من المفوضية الأوروبية أو القواعد الملزمة للشركة (BCR). أعادت قضية Schrems II (CJEU، C-311/18، 16 يوليو 2020) التأكيد على أن التحويلات إلى الولايات المتحدة تتطلب تحليل المخاطر القطرية السابق.

> لفهم تأثير هذه القواعد على مؤسستك، راجع دليلنا.

---

التزامات الشفافية والمعلومات تجاه المستخدمين

سياسة الشهادة (PC) وإعلان ممارسات الشهادة (DPC)

كل PSCo يصدر شهادات ملزم بنشر سياسة الشهادة (PC) وإعلان ممارسات الشهادة (DPC)، وفقًا لمعيار ETSI EN 319 411. توضح هذه الوثائق، المتاحة بحرية:

• إجراءات تحديد الهوية والتسجيل للموقِّعين.

• تدابير الأمان المادي واللوجستي المطبقة.

• شروط إلغاء الشهادات والمهل الزمنية المرتبطة بها.

• مسؤوليات وقيود الضمان الخاصة بـ PSCo.

يشكل عدم وجود أو عدم اكتمال هذه الوثائق عدم توافق يمكن اكتشافه أثناء تدقيق إعادة التأهيل من قبل الهيئة المعتمدة.

المعلومات قبل العقدية والعقدية للعملاء

بصرف النظر عن الالتزامات البحتة التقنية، تفرض المادة 13 من RGPD على PSCo تقديم معلومات واضحة وقابلة للوصول لكل شخص يتم جمع بيانات منه بشأن:

• هوية مسؤول المعالجة وتفاصيل الاتصال بمسؤول حماية البيانات (DPO) (إجباري لـ PSCo الذين يعالجون على نطاق واسع بيانات حساسة، المادة 37 من RGPD).

• أغراض وأسس كل معالجة.

• حقوق الأشخاص (الوصول، التصحيح، الحذف، النقل، الاعتراض).

• المستفيدون المحتملون للبيانات (معالجون فرعيون، سلطات).

يجب أن تظهر هذه المعلومات في سياسة خصوصية الخدمة، في الشروط والأحكام العامة وفي اتفاقية معالجة البيانات المبرمة مع العملاء المحترفين.

الطابع الزمني المؤهل وتتبع التدقيق

لضمان القيمة الإثباتية على المدى الطويل للتوقيعات، يربط PSCo الجادون بشكل منتظم طابعًا زمنيًا إلكترونيًا مؤهلًا (المادة 42 من eIDAS) بكل عمل موقّع. يشكل هذا الطابع الزمني دليلًا قانونيًا مفترضًا على وجود البيانات في التاريخ المشار إليه. الاحتفاظ بسجل التدقيق (سجلات التعريف، بصمة المستند، بيانات التوقيع) هو التزام فعلي لتمكين أي تحقق قضائي لاحق.

> قارن حلول السوق وفقًا لهذه المعايير في مقارنتنا.

---

eIDAS 2.0: الالتزامات الجديدة على الأفق 2026-2027

لائحة eIDAS 2.0 (UE) 2024/1183

نُشرت في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024، لائحة (UE) 2024/1183 المعروفة بـ "eIDAS 2.0" تشدد بشكل كبير التزامات PSCo حول ثلاثة محاور:

• محفظة الهوية الرقمية الأوروبية (EUDI Wallet): يجب على الدول الأعضاء توفير محفظة هوية رقمية معتمدة بحلول 2 نوفمبر 2026. سيتعين على PSCo دمج خدمتهم مع هذه المحفظة لتقديم توقيعات مؤهلة عبر هوية eIDAS 2.0.

• إدارة شهادات السمات: تقدم eIDAS 2.0 شهادات السمات المؤهلة (QEAAs)، الصادرة عن مقدمي خدمات شهادة السمات المؤهلين. ستنطبق إجراءات تدقيق وتأهيل جديدة.

• تعزيز الإشراف: تحصل السلطات الوطنية للإشراف (ANSSI لفرنسا) على صلاحيات موسعة، لا سيما القدرة على إجراء عمليات تدقيق مفاجئة وفرض تدابير تصحيحية ملزمة في آجال قصيرة.

الآثار العملية لمقدمي الخدمات الحاليين

يجب على PSCo المؤهلة بالفعل بموجب eIDAS 1.0 تنفيذ الامتثال التدريجي قبل المواعيد النهائية المحددة من قبل أعمال تنفيذية من المفوضية (المنشورة أو قيد الإعداد). تتعلق التكييفات الرئيسية:

• إعادة تصميم بنية التعريف لدعم EUDI Wallet كوسيلة للمصادقة.

• تحديث PC/DPC لدمج أنواع الشهادات والشهادات الجديدة.

• تعزيز متطلبات أمان QSCD البعيدة، مع ملفات حماية جديدة قادمة.

بالنسبة للشركات العملاء، هذا يعني التحقق اليوم من أن مقدم خدمتهم لديه roadmap توافق eIDAS 2.0 موثقة وقابلة للتحقق.

الإطار القانوني المنطبق على التزامات مقدمي خدمات التوقيع الإلكتروني

تنقسم السلسلة المعيارية المنطبقة على مقدمي خدمات التوقيع الإلكتروني العاملين في فرنسا على عدة مستويات هرمية متكاملة.

القانون المدني الفرنسي — المادتان 1366 و 1367

تعترف المادة 1366 من القانون المدني بالكتابة الإلكترونية كوسيلة إثبات معادلة للكتابة الورقية، شريطة أن "يتمكن من تحديد هوية الشخص الذي تصدر عنه بشكل صحيح وأن يتم إنشاؤها والاحتفاظ بها بطريقة تضمن سلامتها". توضح المادة 1367 أن التوقيع الإلكتروني "يتمثل في استخدام عملية موثوقة لتحديد الهوية تضمن ارتباطه بالعمل الذي يلحق به". تستفيد الافتراضات بالموثوقية من التوقيعات المؤهلة بموجب eIDAS، مما يعكس عبء الإثبات لصالح الموقِّع.

لائحة eIDAS رقم 910/2014/UE

تضع هذه اللائحة، التي تطبق مباشرة في جميع الدول الأعضاء، الإطار القانوني لخدمات الثقة. تحدد مادتها 26 شروط التوقيع الإلكتروني المتقدم؛ مادتها 28 متطلبات الشهادات المؤهلة؛ ملحقها الأول يفصل المحتوى الإجباري لهذه الشهادات. يستفيد PSCo المؤهلون من افتراض الامتثال لمتطلبات اللائحة التقنية والقانونية (المادة 19§2)، وهذا يشكل ميزة كبيرة في حالة نزاع.

لائحة eIDAS 2.0 — (UE) 2024/1183

نُشرت في 30 أبريل 2024، تقدم هذه اللائحة التعديلية فئات جديدة من خدمات الثقة (شهادات السمات المؤهلة، خدمات الأرشفة المؤهلة) وتعزز التزامات الإشراف. تلغي وتحل محل اللائحة 910/2014 جزئيًا، مع قابلية التطبيق التدريجية وفقًا لأعمال تنفيذية من المفوضية الأوروبية.

RGPD — لائحة (UE) 2016/679

ينطبق RGPD على أي معالجة بيانات شخصية تتم في سياق خدمة التوقيع الإلكتروني. تشكل المواد 5 (مبادئ الشرعية)، 6 (الأساس القانوني)، 9 (البيانات الحساسة)، 13-14 (المعلومات)، 28 (المعالجة الفرعية)، 32 (الأمان)، 33-34 (إخطار الانتهاك)، 35 (AIPD) و 37 (DPO) الأحكام الأكثر انطباقًا بشكل متكرر. CNIL هي سلطة الرقابة المختصة في فرنسا ويمكنها فرض غرامات تصل إلى 20 مليون يورو أو 4% من رقم الأعمال السنوي العالمي (المادة 83§5 من RGPD).

توجيه NIS2 — (UE) 2022/2555

منقولة إلى القانون الفرنسي بموجب القانون رقم 2023-703 بتاريخ 1 أغسطس 2023، تصنف NIS2 PSCo الذين لهم حجم كبير من بين الكيانات المهمة أو الحيوية الخاضعة لالتزامات إدارة المخاطر السيبرانية وإخطار الحوادث إلى ANSSI في غضون 24 ساعة (تنبيه مبكر) ثم 72 ساعة (إخطار كامل).

معايير ETSI

تشكل مجموعة معايير EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 و TS 119 431 المرجع التقني الإجباري للتدقيق حول التأهيل. عدم احترامها يؤدي إلى استحالة الحصول على أو الحفاظ على المركز المؤهل.

المخاطر القانونية في حالة عدم الامتثال

يواجه مقدم خدمة غير متوافق: الحذف من TSL الفرنسية، التزام بالمسؤولية العقدية وغير العقدية، عقوبات CNIL الإدارية، غرامات NIS2 التي قد تصل إلى 10 ملايين يورو أو 2% من رقم الأعمال العالمي للكيانات المهمة و 20 مليون أو 4% من رقم الأعمال للكيانات الحيوية، وكذلك دعاوى قضائية من العملاء الذين تضرروا من جراء توقيعات لم تكن صحيحة قانونيًا.

سيناريوهات الاستخدام: كيف تتحقق المؤسسات من توافق PSCo الخاص بها

السيناريو 1 — مجموعة صناعية تدير 3000 عقد مع الموردين سنويًا

مجموعة صناعية بحجم متوسط (ETI)، نشطة في تصنيع المعدات الميكانيكية، تقوم بدمج جميع عقود الموردين الخاصة بها عبر منصة SaaS لخدمة التوقيع الإلكتروني. أثناء تدقيق داخلي تم إطلاقه بعد تطور تنظيمي، تلاحظ إدارة العلاقات القانونية أن مقدم الخدمة المختار — في الأصل اختير على أساس السعر — لا يظهر في TSL الفرنسية ولا في أي TSL أوروبية. التوقيعات الصادرة من نوع "بسيط" بدون آلية تحديد هوية قوية للموقِّع.

أمام المخاطر القانونية — قد يتم الطعن في القيمة الإثباتية لجميع العقود الموقعة في حالة نزاع — تشرع الشركة في الهجرة نحو PS