Compliment d'eIDAS per a pimes: la llista de verificació completa de 2026

El reglament europeu eIDAS (UE n°910/2014, que aviat serà modificat per eIDAS 2.0) regula les signatures electròniques a tota la Unió Europea. Per a una PIME, complir no és només una casella a comprovar: és la garantia que els seus contractes són exigibles, que les dades de la seva signatura estan protegides i que es protegeix de riscos legals que poden ser costosos. Aquí teniu la llista de verificació de 2026 en 12 punts concrets per comprovar que la vostra PIME compleix completament amb eIDAS.

Punt 1: tria el nivell de signatura adequat

Primer reflex: mapeja els teus tipus de contracte i associa un nivell objectiu. Contractes comercials estàndard (cotitzacions, ordres de compra, simples NDA): SES és suficient. Contractes de treball, arrendaments, NDA sensibles, acords estratègics: AES mínim, preferentment amb OTP SMS. Actes regulats (advocat, notari, contractes públics per sobre d'un llindar): QES obligatòria. Sense aquest mapeig, corre el risc de subdimensionar (contracte rebutjat) o sobredimensionar (cost excessiu).

Punt 2: comproveu la qualificació del proveïdor de serveis

El vostre proveïdor de serveis ha de ser un proveïdor de serveis de confiança (QTSP) o confiar en un QTSP per als nivells AES/QES. Consulteu la llista de serveis de confiança publicada per l'ANSSI (eidas.ssi.gouv.fr) i la llista europea de confiança (webgate.ec.europa.eu/tl-browser). Els QTSP de referència francesos: Certigna, Docaposte, Certinomis, Universign. Per a SES/AES a través de la plataforma (Certyneo, Yousign, etc.), comproveu el seu compliment eIDAS documentat explícitament.

Punt 3: prova la pista d'auditoria

Signa un sobre de prova i recull la pista d'auditoria (normalment un PDF separat). Ha de contenir: identitat i correu electrònic del signant, marca de temps de cada pas (enviament, obertura, validació, signatura), adreça IP, agent d'usuari, hash del document, validació OTP si AES. Si falta algun d'aquests elements, el valor probatori es debilita. Certyneo ofereix la pista d'auditoria completa fins i tot amb un pla gratuït.

Punt 4: controleu la marca de temps

La marca de temps l'ha d'emetre una autoritat de marca de temps (TSA) que compleixi amb la RFC 3161. No n'hi ha prou amb una marca de temps d'un servidor NTP de l'empresa. Obriu el PDF signat a Adobe Reader: pestanya Signatures → Detalls → Marca de temps. Hauríeu de veure un certificat TSA vàlid i un rellotge certificat allà. Si el PDF no té una marca de temps certificada, feu marxa enrere per triar el proveïdor de serveis.

Punt 5: arxiu durant almenys 10 anys

El Codi de Comerç (article L. 123-22) exigeix ​​10 anys de conservació dels documents comercials. El Codi de Treball imposa 5 anys per als contractes de treball posteriors a l'extinció. L'arxiu ha de preservar la integritat (hash, segellat) i l'accés. Ideal: format PDF/A (ISO 19005), emmagatzematge dual (còpia de seguretat principal + fora del lloc), caixa forta electrònica qualificada (CFE) per a la màxima prova. Certyneo arxiva 10 anys per defecte i ofereix exportació als socis de CFE.

Punt 6: comproveu la localització de les dades

On estan allotjades les dades de la vostra signatura? Per a una PIME francesa que tracti de contractes sensibles, trieu l'allotjament francès o de la UE. Demaneu al vostre proveïdor de serveis la llista de subcontractistes i la seva ubicació (article 28 GDPR). Eviteu solucions subjectes a la Llei del núvol dels EUA per a contractes estratègics. Certyneo està allotjat a França, sense dependència de Cloud Act. Consulteu el nostre article a /blog/cloud-act-signature-electronique.

Punt 7: articular amb el GDPR

La signatura i el GDPR estan estretament vinculats: cada sobre conté dades personals (nom, correu electrònic, IP, telèfon). Assegureu-vos que el vostre registre de tractament (art. 30 GDPR) inclogui la signatura electrònica, que els terminis de conservació siguin coherents (10 anys) i que es puguin implementar els drets de les persones (accés, rectificació, portabilitat). Si demaneu moltes signatures, es recomana un DPO. Consulteu el nostre article /blog/signature-electronique-rgpd.

Punt 8: identificar signants aigües amunt

Per a un AES sòlid, la identificació no comença amb la signatura: comença amb la recollida de dades. Comproveu els correus electrònics (sense àlies, sense llista de correu), números de telèfon (sense línia compartida) i feu un seguiment de la font d'identificació (ID per a contractes pesats, KYC del client existent per a contractes en curs). Aquesta diligència deguda fa que les proves siguin sòlides en cas de conflicte.

Punt 9: entrenar els equips

Els vostres equips de vendes, recursos humans i legals han d'entendre les regles: no obligueu mai un signant a utilitzar un dispositiu de tercers, no retorneu mai un PDF signat modificat, mai enganxeu una imatge de signatura escanejada en lloc d'una signatura real. Una hora d'entrenament per equip és suficient per inculcar bons reflexos. Certyneo ofereix una guia completa per compartir internament (/resources).

Punt 10: comprovar els contractes dels prestadors del servei

La CGU/CGV del prestador del servei de signatura ha de: iniciar el compliment d'eIDAS, especificar els períodes d'arxivament, incloure un acord de subcontractació GDPR (art. 28), documentar els subcontractistes, aportar un pla de reversibilitat en el cas. També sol·liciteu SOC 2 tipus II o equivalent si processeu grans volums. Per a Certyneo, aquests documents estan disponibles a /legal i /security.

Punt 11: preparar eIDAS 2.0 i la cartera EUDI

El reglament eIDAS 2.0 (UE 2024/1183) entra en vigor de manera gradual i obliga als Estats membres a desplegar una cartera EUDI abans de finals de 2026. Aquesta oficina d'identitat digital QES no permetrà l'accés remot a la identitat física sense una cartera de registre. Prepara la teva PIME: comproveu que el vostre proveïdor de serveis disposa d'un full de ruta EUDI Wallet, seguiu les comunicacions de l'ANSSI i de la Comissió Europea. Vegeu /blog/eidas-2-nouveau-reglement-2026.

Punt 12: auditoria anual

El compliment no és un estat adquirit: és un procés en curs. Programar una auditoria anual (interna o externa) per comprovar: canvis normatius, evolució dels proveïdors de serveis, mapeig actualitzat dels tipus de contracte, retenció efectiva, formació de nous reclutes. Una auditoria lleugera dura mig dia per a una PIME i evita moltes sorpreses. Comenceu creant un compte de Certyneo gratuït a certyneo.com/signup per provar el compliment del món real i, a continuació, consulteu la nostra guia eIDAS per aprofundir (/guide/eidas).