التزامات مقدم خدمات التوقيع الإلكتروني في فرنسا

المقدمة

نشر حل التوقيع الإلكتروني في فرنسا لا يتم بارتجال. خلف كل توقيع مؤهل أو متقدم تختبئ عشرات الالتزامات القانونية التي تقع على عاتق مقدم خدمات الثقة (PSCo). لائحة eIDAS والنظام العام للحماية من الاستخدام غير الضروري للبيانات الشخصية (RGPD) والمرجع العام للأمان ومعايير ETSI... الإطار التنظيمي كثيف وديناميكي في نفس الوقت. بالنسبة للشركات المستخدمة، فإن فهم التزامات القانون بشأن خدمات التوقيع الإلكتروني في فرنسا eIDAS RGPD أمر ضروري لاختيار شريك متوافق وتجنب أي مخاطر قانونية. تفصل هذه المقالة، قسم تلو الآخر، جميع المتطلبات المطبقة على مقدمي خدمات الثقة العاملين على الأراضي الفرنسية.

---

مركز مقدم خدمات الثقة المؤهل

ما هو مقدم خدمات الثقة بمعنى eIDAS؟

تميز لائحة eIDAS رقم 910/2014 بين فئتين من مقدمي الخدمات: مقدمو خدمات الثقة غير المؤهلين ومقدمو الخدمات المؤهلين (PSCQ). يمكن للفئة الأولى تقديم خدمات التوقيع الإلكتروني البسيط أو المتقدم بدون تدقيق إلزامي من طرف ثالث. أما الثانية — والتي يُسمح فقط لها بتوقيع التوقيع الإلكتروني المؤهل بمعنى المادة 3(15) من eIDAS — فيجب أن تفي بمتطلبات أكثر صرامة بكثير.

في فرنسا، يتولى الوكالة الوطنية لأمن أنظمة المعلومات (ANSSI) دور السلطة الإشرافية (« Supervisory Body ») المنصوص عليه في المادة 17 من eIDAS. وهي تنشر وتحافظ على قائمة الثقة الفرنسية (TSL — Trust Service List)، المتاحة على موقعها الرسمي، والتي تضم قائمة بمقدمي الخدمات المؤهلين وخدماتهم.

إجراء التأهيل: التدقيق والامتثال

للحصول على مركز مؤهل، يجب على مقدم خدمات الثقة بالضرورة:

• الحصول على تدقيق لخدماته من قبل هيئة تقييم المطابقة (CAB — Conformity Assessment Body) معتمدة من قبل COFRAC وفقاً للمعيار EN ISO/IEC 17065.

• تقديم تقرير التدقيق إلى ANSSI، التي تقرر منح مركز مؤهل أم لا. يتم إعادة تقييم هذا المركز على الأقل كل 24 شهراً (المادة 20 §1 من eIDAS).

• إخطار ANSSI بأي تغيير جوهري في خدماته خلال مدة 3 أشهر قبل التعديل المخطط له (المادة 21 من eIDAS).

عدم الامتثال لهذه الخطوات يعرض مقدم الخدمات لـ حذف من TSL وفقدان الافتراضات القانونية المتعلقة بموثوقية التوقيع الإلكتروني المؤهل. بالنسبة للشركات العميلة، اللجوء إلى مقدم خدمات ثقة غير مدرج في TSL يعني عدم الاستفادة من أي افتراض قانوني بالموثوقية.

> لمزيد من المعلومات حول مستويات التوقيع المختلفة وآثارها القانونية، يرجى استشارة دليلنا الشامل للائحة eIDAS 2.0.

---

الالتزامات التقنية والأمنية المفروضة على مقدمي خدمات الثقة

الامتثال لمعايير ETSI

يجب على مقدمي الخدمات المؤهلين الامتثال لمجموعة من المعايير الأوروبية التي نشرتها معهد معايير الاتصالات الأوروبي (ETSI). من بين أهمها:

• ETSI EN 319 401: متطلبات الأمان العام المطبقة على جميع مقدمي خدمات الثقة.

• ETSI EN 319 411-1 و 411-2: سياسات وممارسات سلطات الشهادات التي تصدر شهادات التوقيع الإلكتروني المؤهل.

• ETSI EN 319 132: صيغ التوقيع الإلكتروني المتقدمة (XAdES لـ XML و PAdES لـ PDF و CAdES لـ CMS).

• ETSI EN 319 122: صيغة CAdES للتوقيع الإلكتروني المؤهل.

• ETSI TS 119 431: متطلبات خدمات إنشاء التوقيع عن بعد (QSCD بعيد).

هذه المعايير ليست اختيارية: تشير لائحة eIDAS (الملحق الثاني والثالث والرابع) إليها بشكل صريح لتحديد الحد الأدنى من متطلبات الشهادات المؤهلة وأجهزة إنشاء التوقيع الإلكتروني.

إدارة الأجهزة الآمنة لإنشاء التوقيع (QSCD)

أحد الأعمدة الأساسية للتوقيع الإلكتروني المؤهل هو استخدام جهاز آمن لإنشاء التوقيع الإلكتروني (QSCD — Qualified Signature Creation Device) متوافق مع الملحق الثاني من eIDAS. يجب أن يضمن مقدم الخدمة ما يلي:

• لا يمكن إنشاء المفتاح الخاص للموقّع أو تخزينه أو نسخه خارج جهاز QSCD.

• إنشاء المفتاح يتم حصراً في بيئة معتمدة (شهادة Common Criteria EAL 4+ أو ما يعادلها).

• المصادقة على هوية الموقّع السابقة لأي عملية توقيع تعتمد على عاملي مصادقة على الأقل.

في سياق التوقيع عن بعد — والذي أصبح أكثر انتشاراً في بيئات SaaS — تنطبق هذه المتطلبات على خادم HSM (Hardware Security Module) الذي يستضيف المفاتيح. نشرت ANSSI ملفات حماية محددة (PP-0075، PP-0076) تحدد معايير الأمان الواجب تحقيقها.

سياسة الاستمرارية وإخطار الحوادث

تفرض المادة 19 من eIDAS على أي مقدم خدمات ثقة (مؤهل أم لا) ما يلي:

• إخطار السلطة الإشرافية (ANSSI) وعند الاقتضاء السلطة المسؤولة عن حماية البيانات (CNIL)، خلال 24 ساعة من اكتشاف انتهاك أمني قد يؤثر على موثوقية الخدمة.

• الاحتفاظ بـ خطة استمرارية نشاط موثقة وتم اختبارها بشكل منتظم.

• التمتع بـ سياسة أمان المعلومات رسمية، تغطي على وجه الخصوص إدارة المخاطر وإدارة الحوادث وسياسة النسخ الاحتياطية.

تتقاطع هذه الالتزامات جزئياً مع تلك الواردة في توجيه NIS2 (2022/2555/UE)، والمترجمة إلى القانون الفرنسي بموجب القانون رقم 2023-703 المؤرخ 1 أغسطس 2023، والذي يصنف مقدمي خدمات الثقة ذوي الحجم الكبير ضمن الكيانات المهمة أو الأساسية الخاضعة لالتزامات معززة في مجال الأمن السيبراني.

> اكتشف كيفية دمج التوقيع الإلكتروني لمكاتب المحاماة هذه القيود في سير عملهم الموثقي.

---

التزامات RGPD المحددة لمقدمي خدمات الثقة

هل مقدم خدمات الثقة هو المسؤول عن معالجة البيانات أم الموكل؟

يعتمد التصنيف بموجب RGPD لمقدم الخدمات على طبيعة الخدمة المقدمة:

• عندما يقدم مقدم خدمات الثقة بشكل مباشر شهادات مؤهلة باسم الموقّع ويحدد أغراض معالجة البيانات الشخصية (الهوية وبيانات المصادقة البيومترية)، فإنه يتصرف بصفته المسؤول عن معالجة البيانات بمعنى المادة 4(7) من RGPD.

• عندما يدمج واجهة برمجية (API) الخاصة به في منصة عميل B2B ومعالجة البيانات الشخصية وفقاً لتعليمات هذا العميل فقط، فإنه يتولى مركز الموكل (المادة 4(8) من RGPD) ويجب عليه بالضرورة توقيع DPA (اتفاقية معالجة البيانات) متوافقة مع المادة 28 من RGPD.

في الممارسة العملية، يجمع معظم مقدمي خدمات الثقة من نوع SaaS بين المركزين: مسؤول عن إدارة البنية التحتية للشهادات الخاصة بهم وموكل لمعالجة المستندات والبيانات الوصفية للموقعين.

التزامات محددة تتعلق بالبيانات البيومترية وبيانات الهوية

التعريف والمصادقة على هوية الموقّع — خطوة إلزامية لإصدار شهادة مؤهلة — غالباً ما ينطوي على معالجة بيانات حساسة: مسح بطاقة الهوية وصورة سيلفي فيديو وبيانات بيومترية للتعرف على الوجه. تشكل هذه البيانات بيانات شخصية تخضع لـ RGPD، أو حتى بيانات بيومترية تندرج ضمن المادة 9 من RGPD (فئات خاصة).

تشمل التزامات مقدم خدمات الثقة ما يلي:

• الأساس القانوني: الموافقة الصريحة (المادة 9§2a) أو في بعض الحالات الالتزام القانوني (المادة 9§2b) لمعالجة البيانات البيومترية.

• مدة الاحتفاظ محدودة: وفقاً للمبادئ التوجيهية CNIL، يجب الاحتفاظ بيانات التعريف للوقت الضروري بدقة، محاذياً عادةً مع مدة صحة الشهادة + مدة الحفظ القانوني (غالباً 10 سنوات للأوراق الخاصة، المادة 2224 من القانون المدني).

• تقييم الأثر (AIPD) إلزامي (المادة 35 من RGPD) عندما تكون معالجة البيانات عرضة لنطاق المخاطر العالي — وهو ما يحدث بشكل منهجي للبيانات البيومترية.

• سجل المعالجات (المادة 30 من RGPD) محدث ويوثق كل فئة معالجة.

التحويلات الدولية للبيانات

العديد من مقدمي خدمات الثقة الذين يستضيفون جميع أو بعض البنية التحتية الخاصة بهم خارج المنطقة الاقتصادية الأوروبية (EEE). في هذه الحالة، تفرض الضمانات المناسبة المطلوبة بموجب الفصل V من RGPD نفسها: قرار الكفاية أو الشروط التعاقدية النموذجية (SCCs) من المفوضية الأوروبية أو القواعد الملزمة للمجموعة (BCR). أعادت قضية Schrems II (محكمة العدل الأوروبية، C-311/18، 16 يوليو 2020) التأكيد على أن التحويلات إلى الولايات المتحدة تتطلب تحليل مخاطر دول سابق.

> لفهم تأثير هذه القواعد على مؤسستك، استشير دليلنا حول التوقيع الإلكتروني في الشركة.

---

التزامات الشفافية والإعلام للمستخدمين

سياسة الشهادات (PC) وإعلان ممارسات الشهادات (DPC)

يُطلب من أي مقدم خدمات ثقة يصدر شهادات نشر سياسة الشهادات (PC) وإعلان ممارسات الشهادات (DPC)، وفقاً للمعيار ETSI EN 319 411. توضح هذه المستندات، المتاحة بحرية:

• إجراءات تحديد الهوية والتسجيل للموقعين.

• التدابير الأمنية المادية واللوجستية المنشرة.

• شروط إلغاء الشهادات والآجال المرتبطة بها.

• مسؤوليات مقدم خدمات الثقة وقيود الضمان.

غياب أو عدم اكتمال هذه المستندات يشكل عدم امتثال قد يتم الكشف عنه أثناء تدقيق إعادة التأهيل من قبل الهيئة المعتمدة.

الإعلام المسبق للعقد والعقدي للعملاء

بما يتجاوز الالتزامات البحتة التقنية، تفرض المادة 13 من RGPD على مقدم خدمات الثقة توفير معلومات واضحة وسهلة الوصول لكل شخص يتم جمع بياناته حول:

• هوية المسؤول عن معالجة البيانات وتفاصيل الاتصال بموظف حماية البيانات (إلزامي لمقدمي الخدمات الذين يعالجون بيانات حساسة على نطاق واسع، المادة 37 من RGPD).

• أغراض وأسس كل معالجة.

• حقوق الأشخاص (الوصول والتصحيح والحذف والنقل والمعارضة).

• المستقبلات المحتملة للبيانات (الموكلون والسلطات).

يجب أن تظهر هذه المعلومات في سياسة الخصوصية للخدمة وفي شروط الخدمة وعند الاقتضاء في DPA المبرم مع العملاء المحترفين.

الطابع الزمني المؤهل والمسار الدقيق

لضمان القيمة الإثباتية على المدى الطويل للتوقيع، يربط مقدمو خدمات الثقة الموثوقون بشكل منهجي طابع زمني إلكتروني مؤهل (المادة 42 من eIDAS) لكل عملية موقعة. يشكل هذا الطابع الزمني دليلاً يفترض قانوناً بوجود البيانات في التاريخ المشار إليه. الاحتفاظ بـ المسار الدقيق (سجلات المصادقة وبصمة المستند وبيانات التوقيع) هو التزام فعلي للسماح بأي تحقق قضائي لاحق.

> قارن حلول السوق وفقاً لهذه المعايير في مقارنتنا لحلول التوقيع الإلكتروني.

---

eIDAS 2.0: الالتزامات الجديدة في الأفق 2026-2027

اللائحة eIDAS 2.0 (EU) 2024/1183

نشرت في الجريدة الرسمية للاتحاد الأوروبي في 30 أبريل 2024، تقوي لائحة (EU) 2024/1183 المعروفة باسم « eIDAS 2.0 » بشكل كبير التزامات مقدمي خدمات الثقة حول ثلاثة محاور:

• محفظة الهوية الرقمية الأوروبية (EUDI Wallet): يجب على الدول الأعضاء توفير محفظة هوية رقمية معتمدة بحلول 2 نوفمبر 2026. سيتعين على مقدمي خدمات الثقة دمج خدمتهم مع هذه المحفظة لتقديم توقيع مؤهل عبر هوية eIDAS 2.0.

• إدارة شهادات السمات: تقدم eIDAS 2.0 شهادات السمات المؤهلة (QEAAs)، الصادرة عن مقدمي خدمات معتمدين لشهادات السمات. تنطبق إجراءات تدقيق وتأهيل جديدة.

• تعزيز الإشراف: ترى السلطات الوطنية للإشراف (ANSSI لفرنسا) توسيع صلاحياتها، بما في ذلك القدرة على إجراء عمليات تدقيق مفاجئة وفرض تدابير تصحيحية إلزامية في آجال مختصرة.

الآثار العملية لمقدمي الخدمات الحاليين

سيتعين على مقدمي خدمات الثقة المؤهلين بالفعل بموجب eIDAS 1.0 الخضوع لـ مواءمة تدريجية قبل الآجال المحددة بموجب أعمال التنفيذ من لجنة الاتحاد الأوروبي (المنشورة أو قيد النشر). تتعلق التعديلات الرئيسية بـ:

• إعادة تصميم البنية التحتية للتعريف لدعم EUDI Wallet كوسيلة مصادقة.

• تحديث PC/DPC لدمج أنواع الشهادات والشهادات الجديدة.

• تعزيز متطلبات الأمان لأجهزة QSCD البعيدة، مع ملفات حماية جديدة قادمة.

بالنسبة للشركات العميلة، هذا يعني التحقق منذ الآن من وجود خارطة طريق للامتثال eIDAS 2.0 موثقة وقابلة للتحقق من قبل مقدم الخدمات.

الإطار القانوني المطبق على التزامات مقدمي خدمات التوقيع الإلكتروني

تتوسع سلسلة المعايير المعمول بها على مقدمي خدمات التوقيع الإلكتروني العاملين في فرنسا على عدة مستويات هرمية متكاملة.

القانون المدني الفرنسي - المواد 1366 و 1367

تعترف المادة 1366 من القانون المدني بالكتابة الإلكترونية كطريقة إثبات معادلة للكتابة الورقية، شريطة أن « يمكن تحديد هوية الشخص الذي تصدر عنه على نحو صحيح وأن يتم إثباتها والاحتفاظ بها في ظروف من شأنها أن تضمن سلامتها ». توضح المادة 1367 أن التوقيع الإلكتروني « يتكون من استخدام طريقة موثوقة للتعريف بالهوية تضمن ارتباطها بالعمل المرفقة به ». تستفيد الافتراضات بالموثوقية من التوقيع المؤهل بمعنى eIDAS، مما يعكس عبء الإثبات لصالح الموقّع.

لائحة eIDAS رقم 910/2014/EU

تحدد هذه اللائحة، التي تطبق مباشرة في جميع الدول الأعضاء، الإطار القانوني لخدمات الثقة. تحدد المادة 26 شروط التوقيع الإلكتروني المتقدم؛ والمادة 28 متطلبات الشهادات المؤهلة؛ والملحق الأول المحتوى الإلزامي لهذه الشهادات. يستفيد مقدمو الخدمات المؤهلون من افتراض المطابقة لمتطلبات لائحة eIDAS التقنية والقانونية (المادة 19§2)، وهو ما يشكل ميزة كبيرة في حالة النزاع.

لائحة eIDAS 2.0 — (EU) 2024/1183

نشرت في 30 أبريل 2024، تقدم لائحة التعديل هذه فئات جديدة من خدمات الثقة (شهادات السمات المؤهلة وخدمات الأرشفة المؤهلة) وتقوي التزامات الإشراف. تلغي وتستبدل جزئياً لائحة 910/2014، مع تطبيق تدريجي وفقاً لأعمال تنفيذ لجنة الاتحاد الأوروبي.

RGPD — لائحة (EU) 2016/679

ينطبق RGPD على أي معالجة للبيانات الشخصية في سياق خدمة التوقيع الإلكتروني. تشكل المواد 5 (مبادئ الشرعية) و 6 (الأساس القانوني) و 9 (البيانات الحساسة) و 13-14 (الإعلام) و 28 (الموكل) و 32 (الأمان) و 33-34 (إخطار الانتهاك) و 35 (AIPD) و 37 (موظف حماية البيانات) الأحكام الأكثر انطباقاً بشكل متكرر. تعتبر CNIL السلطة الإشرافية المختصة في فرنسا ويمكنها فرض غرامات تصل إلى 20 مليون يورو أو 4% من إجمالي رقم الأعمال السنوي العالمي (المادة 83§5 من RGPD).

توجيه NIS2 — (EU) 2022/2555

صدر بموجب القانون الفرنسي برقم 2023-703 المؤرخ 1 أغسطس 2023، يصنف NIS2 مقدمي خدمات الثقة الكبار ضمن الكيانات المهمة أو الأساسية الخاضعة لالتزامات إدارة المخاطر السيبرانية وإخطار الحوادث إلى ANSSI تحت 24 ساعة (التنبيه المبكر) ثم 72 ساعة (الإخطار الكامل).

معايير ETSI

تشكل مجموعة المعايير EN 319 401 و EN 319 411-1/2 و EN 319 132 و EN 319 122 و TS 119 431 المرجع التقني الإلزامي لتدقيق التأهيل. عدم الامتثال لها يؤدي إلى استحالة الحصول على أ