Задължения на доставчиците на електронни подписи във Франция

Въведение

Развертаването на решение за електронен подпис във Франция не е нещо, което може да се импровизира. Зад всеки квалифициран или авансиран подпис се криват десетки правни задължения, които лежат на доставчика на услуги за доверие (ДУД). Наредба eIDAS, RGPD, общ еталон за сигурност, норми ETSI… регулаторната рамка е едновременно плътна и еволюираща. За предприятията-потребители разбирането на тези правни задължения на доставчиците на електронни подписи във Франция eIDAS RGPD е незаменимо, за да изберат съвместим партньор и да избегнат всеки правен риск. Тази статия детайлизира, раздел по раздел, всички изисквания, приложими към ДУД, работещи на френската територия.

---

Статусът на квалифициран доставчик на услуги за доверие

Какво е ДУД по смисъла на eIDAS?

Наредба eIDAS № 910/2014 разграничава две категории доставчици: неквалифицирани доставчици на услуги за доверие и квалифицирани доставчици (КДУД). Първите могат да предлагат услуги за простия или авансиран електронен подпис без задължителен одит от трета страна. Вторите — единствено разрешени да издават квалифицирани подписи по смисъла на член 3(15) на eIDAS — трябва да отговорят на значително по-строги изисквания.

Във Франция Агенцията за национална сигурност на информационните системи (ANSSI) изпълнява ролята на надзорния орган („Supervisory Body"), предвиден в член 17 на eIDAS. Тя публикува и поддържа френския списък на доверие (TSL — Trust Service List), достъпен на официалния й сайт, в който са посочени квалифицираните доставчици и техните услуги.

Процедура на квалификацията: одит и съответствие

За да получат квалифициран статус, ДУД трябва задължително:

• Да издират преглед на своите услуги от орган за оценка на съответствието (OOC — Conformity Assessment Body), акредитиран от COFRAC според норма EN ISO/IEC 17065.

• Да представят доклада от одита пред ANSSI, която решава дали да предоставят квалифициран статус. Този статус се преоценява поне всеки 24 месеца (член 20 §1 eIDAS).

• Да уведомят ANSSI за всяка съществена промяна в своите услуги в период от 3 месеца преди планираната промяна (член 21 eIDAS).

Неспазването на тези стъпки изложува доставчика на изключване от TSL и загуба на правните презумпции, свързани с квалифицирания подпис. За фирмите-клиенти прибягването към неквалифициран ДУД, ненамиращ се в списъка на TSL, означава да нямат никаква правна презумпция за надежност.

> За да научите повече за различните нива на подпис и техните правни ефекти, консултирайте нашата статия.

---

Технически и сигурностни задължения, наложени на ДУД

Съответствие с норми ETSI

Квалифицираните доставчици трябва да отговарят на набор от европейски норми, публикувани от Европейския институт за телекомуникационни стандарти (ETSI). Основните са:

• ETSI EN 319 401: общи изисквания за сигурност, приложими за всички ДУД.

• ETSI EN 319 411-1 и 411-2: политики и практики на органите за издаване на сертификати, издаващи сертификати на квалифициран подпис.

• ETSI EN 319 132: формати на авансирания електронен подпис (XAdES за XML, PAdES за PDF, CAdES за CMS).

• ETSI EN 319 122: формат CAdES за квалифицирани подписи.

• ETSI TS 119 431: изисквания към услугите по създаване на подпис от разстояние (отдалечен QSCD).

Тези норми не са факултативни: наредба eIDAS (Приложение II, III и IV) изрично се позовава на тях, за да дефинира минималните изисквания на квалифицирани сертификати и устройства за създаване на подпис.

Управление на квалифицирани устройства за създаване на подпис (QSCD)

Един от стълбовете на квалифицирания подпис е използването на квалифицирано устройство за създаване на подпис (QSCD — Qualified Signature Creation Device), отговарящо на Приложение II на eIDAS. Доставчикът трябва да гарантира, че:

• Частният ключ на подписващия не може да бъде генериран, съхранен или копиран извън QSCD.

• Генерирането на ключа се извършва изключително в сертифицирана среда (сертификация Common Criteria EAL 4+ или еквивалентна).

• Удостоверяването на подписващия преди всеки акт на подпис се основава на поне два фактора за удостоверяване.

В контекста на подписване от разстояние — все по-разпространено в SaaS средата — тези изисквания се прилагат към HSM сървъра (Hardware Security Module), който хоства ключовете. ANSSI е публикувала специфични защитни профили (PP-0075, PP-0076), които дефинират критериите за сигурност, които трябва да се постигнат.

Политика на непрекъснатост и известяване за инциденти

Член 19 на eIDAS налага на всеки доставчик на услуги за доверие (квалифициран или не) да:

• Уведомят надзорния орган (ANSSI) и, в зависимост от обстоятелствата, органа за защита на данните (CNIL), в 24 часа след открийте на нарушение на сигурността, което може да засегне надежност на услугата.

• Имат документирани и редовно проверени планове за непрекъснатост на дейност.

• Имат формализирана политика на информационната сигурност, обхващаща по-специално управление на рисковете, управление на инциденти и политика на резервни копия.

Тези изисквания се припокриват отчасти с тези на директива NIS2 (2022/2555/УЕ), трансформирана във френско право чрез закон № 2023-703 от 1 август 2023, които класифицират ДУД с значителен размер между важни или съществени субекти, подложени на укрепени задължения в киберсигурност.

> Открийте как организациите трябва да интегрират тези ограничения в своите документни работни тече.

---

Специфични задължения на RGPD за ДУД

ДУД, отговорен за обработка или преработвател?

Квалификацията на RGPD на доставчика зависи от характера на предоставяната услуга:

• Когато ДУД директно издават сертификати квалифицирани в името на подписващия и определят целите на обработката на лични данни (самоличност, биометрични данни за удостоверяване), действат като отговорни за обработката по смисъла на член 4(7) RGPD.

• Когато интегрират своя API в платформата на B2B клиент и обработват лични данни само по инструкциите на този клиент, носят качеството на преработвател (член 4(8) RGPD) и трябва задължително да сключат DPA (Data Processing Agreement), отговарящ на член 28 RGPD.

На практика повечето ДУД SaaS кумулират двете качества: отговорни за управлението на своята собствена инфраструктура за издаване на сертификати, преработватели за обработката на документи и метаданни на подписващи.

Специфични задължения, свързани с биометричните и удостоверителни данни

Идентифицирането и удостоверяването на подписващия — задължителен етап за издаване на квалифициран сертификат — често включва обработката на чувствителни данни: сканиране на самоличен документ, видео селфи, биометрични данни за разпознаване на лице. Тези данни представляват лични данни, подложени на RGPD, или дори биометрични данни, попадащи под член 9 на RGPD (специални категории).

Задължениям на ДУД включват:

• Правна основа: изричното съгласие (член 9§2a) или, в някои случаи, правното задължение (член 9§2b) за обработката на биометричните данни.

• Ограничена продължителност на съхранението: според указанията на CNIL, данните за идентификация трябва да бъдат съхранени само колкото е необходимо, обикновено във връзка с продължителността на валидност на сертификата + законно определена продължителност на доказателство (често 10 години за акти във вътрешна подпис, член 2224 на Гражданския кодекс).

• Задължителен анализ на влияние (AIPD) (член 35 RGPD), откакто обработката е вероятно да причини висок риск — което е систематично в случая на биометрия.

• Регистър на обработките (член 30 RGPD), поддържан актуален и документиращ всяка категория обработка.

Международни трансфери на данни

Много ДУД хостват всички или част от своята инфраструктура извън Европейската икономическа зона (ЕИЗ). В този случай гарантиите, отговарящи на изисквания глава V на RGPD: решение за адекватност, типови договорни клаузули (SCCs) на Европейската комисия или задължителни правила на предприятието (BCR). Присъдата Schrems II (CJUE, C-311/18, 16 юли 2020) напомни, че трансферите към Съединените щати изискват предварителен анализ на риска на страната.

> За да разберете влияние на тези правила на вашата организация, консултирайте нашата статия.

---

Задължения за прозрачност и информиране на потребителите

Политика за издаване на сертификати (ПИС) и Декларация за практики на издаване на сертификати (ДПИС)

Всеки ДУД, издаващ сертификати, е длъжен да публикува Политика за издаване на сертификати (ПИС) и Декларация за практики на издаване на сертификати (ДПИС), в съответствие с норма ETSI EN 319 411. Тези документи, свободно достъпни, детайлизират:

• Процедури за идентификация и регистрация на подписващи.

• Физическите и логически мерки за сигурност, които са внедрени.

• Условия за отзив на сертификатите и свързаните времеви рамки.

• Отговорности и ограничения на гаранциите на ДУД.

Отсъствието или непълнотата на тези документи представлява несъответствие, което може да бъде отбелязано при одита за преквалификацията от акредитирания орган.

Преддоговорна информация и информация на клиентите

Извън чисто технических задължения, член 13 на RGPD налага на ДУД да предостави на всяка лица, чиито данни са събрани, ясна и достъпна информация относно:

• Самоличност на отговорния за обработката и координати на DPO (задължителен за ДУД, които обработват в голямо мащаб чувствителни данни, член 37 RGPD).

• Целите и правните основи на всяка обработка.

• Правата на лицата (достъп, коригиране, изтриване, преносимост, възражение).

• Евентуални получатели на данни (преработватели, органи).

Тази информация трябва да фигурира в политиката за поверителност на услугата, в ОУ и, в зависимост от обстоятелствата, в DPA, сключен с професионални клиенти.

Квалифицирано времево клеймо и одитна пътека

За да гарантира дългосрочната доказана стойност на подписите, серозните ДУД систематично свързват всеки подписан акт с квалифицирано електронно времево клеймо (член 42 eIDAS). Това времево клеймо представлява правна презумпция за съществуване на данните към указаната дата. Съхраняването на одитната пътека (дневници за идентификация, отпечатък на документа, данни на подписа) е практическо задължение, което позволява всяка последваща съдебна проверка.

> Сравнете решенията на пазара според тези критерии в нашата статия.

---

eIDAS 2.0: новите задължения на хоризонта 2026-2027

Наредба eIDAS 2.0 (УЕ) 2024/1183

Публикувана в Официалния вестник на УЕ на 30 април 2024 г., наредба (УЕ) 2024/1183, наречена „eIDAS 2.0", значително укрепва задължениям на ДУД около три оси:

• Европейския портфейл за цифрова самоличност (EUDI Wallet): държавите членки трябва да предоставят сертифициран портфейл за цифрова самоличност до 2 ноември 2026 г. ДУД ще трябват да интегрират своята услуга с този портфейл, за да предложат квалифицирани подписи чрез самоличност eIDAS 2.0.

• Управление на удостоверения за атрибути: eIDAS 2.0 представя квалифицирани удостоверения за атрибути (QEAAs), издадени от квалифицирани доставчици на удостоверения. Ще се прилагат нови процедури за одит и квалификация.

• Укреп на надзора: национални органи за надзор (ANSSI за Франция) виждат своите правомощия разширени, по-специално способност да провеждат наглед оперативни проверки и да налагат принудителни коригиращи мерки в съкратени времеви рамки.

Практически последици за настоящите доставчици

ДУД, вече квалифицирани под eIDAS 1.0, ще трябват да прогресивно привеждат в съответствие преди установени от Комисията крайни сроки за изпълнение (публикувани или в процес на публикация). Основните адаптации засягат:

• Преработка на инфраструктурата за идентификация, за да подкрепи EUDI Wallet като средство за удостоверяване.

• Актуализиране на ПИС/ДПИС за интегриране на новите типове сертификати и удостоверения.

• Укреп на изискванията за сигурност на отдалечени QSCD, с нови защитни профили, които предстоят.

За фирмите-клиенти това означава да проверят още днес, че техният доставчик разполага с документирана и проверяема roadmap за съответствие с eIDAS 2.0.

Приложима правна рамка към задълженията на доставчиците на електронни подписи

Нормативната верига, приложима към доставчиците на електронни подписи, работещи във Франция, се разпределя на няколко дихотомни нива, които се допълват.

Френски гражданския кодекс — Членове 1366 и 1367

Член 1366 на Гражданския кодекс признава електронния документ като способ на доказ, еквивалентен на хартиения документ, при условие че „може да бъде надлежно идентифицирано лицето, от което он произхожда, и че е установен и съхранен при условия, които гарантират неговата интегралност". Член 1367 уточнява, че електронния подпис „се състои в използването на надежден начин на идентификация, гарантиращ връзката му с акта, към който се прикрепва". Презумцията за надежност е полза на квалифицираните подписи по смисъла на eIDAS, обръщайки бремето на доказателствата в полза на подписващия.

Наредба eIDAS № 910/2014/УЕ

Тази наредба, с пряко приложение във всички държави членки, установява правната рамка на услугите за доверие. Членът му 26 определя условията на авансирания електронен подпис; членът му 28 исканията на квалифицирани сертификати; приложенията му I дефинира задължителното съдържание на тези сертификати. Квалифицираните ДУД имат презумпция за съответствие с изискванията на наредбата, технически и правни (член 19§2), което представлява основателното предимство в случай на спор.

Наредба eIDAS 2.0 — (УЕ) 2024/1183

Публикувана на 30 април 2024 г., тази изменяща наредба представя нови категории услуги за доверие (квалифицирани удостоверения за атрибути, квалифицирани услуги за архивиране) и укрепва задължениям на надзор. Тя отменя и частично замества наредба 910/2014, с прогресивна приложимост според акти за изпълнение на Европейската комисия.

RGPD — Наредба (УЕ) 2016/679

RGPD се прилага за всяка обработка на лични данни, проведена в контекста на услуга за електронен подпис. Членове 5 (принципи на законност), 6 (правна основа), 9 (чувствителни данни), 13-14 (информирање), 28 (преработка), 32 (сигурност), 33-34 (известяване на нарушение), 35 (AIPD) и 37 (DPO) представляват най-често приложимите разпоредби. CNIL е компетентния орган за надзор във Франция и може да налагат наказания до 20 милиона евро или 4% от световния годишен оборот (член 83§5 RGPD).

Директива NIS2 — (УЕ) 2022/2555

Трансформирана във френско право чрез закон № 2023-703 от 1 август 2023 г., NIS2 класифицира значителни ДУД между важни или съществени субекти, подложени на задължения за управление на кибер-рискове и известяване на инциденти към ANSSI в 24 часа (ранна предупреждение) после 72 часа (пълно известяване).

Норми ETSI

Всички норми EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 и TS 119 431 представляват задължителния технически еталон за одит на квалификация. Несъответствието им налага невъзможност да се получи или да се запази квалифициран статус.

Правни рискове при несъответствие

Несъвместим доставчик е изложен на: изключване от франския списък на доверие, включване на договорната му отговорност и извънналогова отговорност, административни санкции CNIL, наказания NIS2, които могат да достигнат 10 милиона евро или 2% световния оборот за важни субекти и 20 милиона или 4% световния оборот за съществени субекти, както и на съдебни иски на клиентите, които са претърпели щета поради неправни подписи.

Сценарии за използване: как предприятията проверяват съответствието на техния ДУД

Сценарий 1 — Индустриална група, управляваща 3 000 договора с доставчици годишно

Индустриална група със среден размер (ETI), активна в производството на механични оборудване, дематериализира всички своите договори с доставчици чрез облачна платформа за електронен подпис. При вътрешен одит, инициирана след еволюция на регулациите, правната дирекция открива, че избранаят доставчик — първоначално избран на критерий на цена — не е позовъч ни във френския списък на доверие, нито във всеки европейски списък на доверие. Издадените подписи са от тип „прост" без механизъм на надежда идентификация на подписващия.

Пред риска правен — всички подписани договори биха могли да видят своята доказана стойност оспорена в случай на спор — предприятието инициира миграция към квалифициран ДУД на ANSSI. Новото решение включва авансиран подпис с квалифициран сертификат, квалифицирано електронно времево клеймо и износима одитна пътека. Проектът на миграция, реализиран за по-малко от 8 седмици, позволява да защитят ретроспективно новите акти и да установят правилна политика. Правни екипи оценяват риска от спор, свързан със старите договори, като маргинален поради тяхното изпълнение без оспорване, но всеки нов подпис е вече покрит.

Наблюдавани печалби: намаляване с 60% на потенциални спорове, свързани с аутентичност на подписите и печалба на 3,5 дни средно времезакъснение на подпис при сложни договори благодарение на автоматизация на работния процес на валидация.

Сценарий 2 — Адвокатско бюро с 25 сътрудници, специализирано в търговския прав

Адвокатско бюро, което желае да дематериализира подписа на мандати, консултации и процесуални акти, оценява няколко доставчици. Неговата мрежа за анализ включва следните критерии: наличност във TSL, публикация на доступна ПИС/ДПИС, наличност на DPA, съответствуващ RGPD, наличност на готов DPO и сертификация на отдалечени QSCD.

От пет оценени доставчици само двама отговарят на всички критерии. Бюрото окончателно избира ДУД, предлагащ нативно квалифициран подпис чрез отдалечен QSCD, гарантиращ презумцията за надежност на член 1367 на Гражданския кодекс. Внедряването отнема 3 седмици, включително обучение. Резултат: 75% на мандатите са вече подписани в по-малко от 24 часа срещу 5 до 7 дни преди (пощ. пратка), и бюрото може да оправдае пред своите клиенти ниво на правно сигурност, предложено от решението — аргумент на разлика в своите търговски предложения.

Сценарий 3 — Болнична група от около 1 200 легла

Болнична група, желаеща дематериализира договорите за работа, конвенции за стажуване и споразумения за партньорство с партньорски установи за медицинска помощ. Чувствителност на обработваните данни (здравни данни на медицинския персонал, HR данни) налага особено внимание на задължения на RGPD на ДУД.

DSI и DPO на установата изискват: хостване на данните във Франция при сертифициран HDS осигурител на здравни данни (Hébergeur de Données de Santé, сертификацията предвидена от член L.1111-8 на Кодекса за общественото здравеопазване), отсъствие на трансфер извън EEA, документирана AIPD за обработката на идентификация на подписващи и подписан DPA преди всяко внедряване.

След избор на ДУД, отговарящ на тези критерии, развертаването покрива приоритетно договорите за HR (около 800 акта годишно). Средното време на подпис на определени договори пада от 9 дни на по-малко от 48 часа, освобождавайки значителна капацитет за екипите на човешките ресурси. Установата разполага освен това с пълна проследимост на събрани съгласия, проверена ежегодно от своя DPO.

Заключение

Задължениям, лежащи на доставчиците на электронни подписи във Франция, образуват строго нормативно съдържание: квалификация eIDAS, съответствие с RGPD, спазване на норми ETSI, задължения на NIS2 и неотложна адаптация към eIDAS 2.0. За фирмите-потребители, да се гарантира съответствието на своя ДУД, не е факултативна деятельност — това е условие sine qua non за доказана стойност на подписани акти и защита на лични данни на подписващи.

Certyneo е доставчик на електронни подписи, проектиран да отговори на всички тези изисквания: съответствие eIDAS, RGPD по дизайн, суверенен хостване и документирана roadmap eIDAS 2.0. Готови ли сте да защитите своите подписи в пълно съответствие? Контактирайте нас и получете персонализирана подкрепа от първия ден.