Obligations prestataire signatura electrònica França

Introducció

Desplegar una solució de signatura electrònica a França no s'improvisa. Darrere cada signatura qualificada o avançada es troben desenes d'obligacions legals que incumbeixen al prestatari de serveis de confiança (PSCo). Reglament eIDAS, RGPD, referencial general de seguretat, normes ETSI… el marc regulatori és alhora dens i evolutiu. Per a les empreses usuàries, comprendre aquestes obligacions legals prestatari signatura electrònica França eIDAS RGPD és indispensable per a triar un soci conforme i evitar qualsevol risc jurídic. Aquest article detalla, secció per secció, el conjunt d'exigències aplicables als PSCo que operen al territori francès.

---

L'estatus de prestatari de serveis de confiança qualificat

Què és un PSCo al sentit d'eIDAS ?

El reglament eIDAS nº 910/2014 distingeix dos categories de prestataris : els prestataris de serveis de confiança no qualificats i els prestataris qualificats (PSCQ). Els primers poden oferir serveis de signatura electrònica simple o avançada sense auditoria de tercers obligatòria. Els segons — únics autoritzats a lliurar signatures qualificades al sentit de l'article 3(15) d'eIDAS — han de satisfer exigències considerablement més estrictes.

A França, és l'Agència Nacional de la Seguretat dels Sistemes d'Informació (ANSSI) qui compleix el rol d'autoritat de supervisió (« Supervisory Body ») previst per l'article 17 d'eIDAS. Publica i manté la llista de confiança francesa (TSL — Trust Service List), accessible al seu lloc oficial, que recensa els prestataris qualificats i els seus serveis.

El procediment de qualificació : auditoria i conformitat

Per obtenir l'estatus qualificat, un PSCo ha de obligatòriament :

• Fer auditar els seus serveis per un organisme d'avaluació de la conformitat (CAB — Conformity Assessment Body) acreditat pel COFRAC segons la norma EN ISO/IEC 17065.

• Sotmetre l'informe d'auditoria a l'ANSSI, qui estatueix sobre l'atorgament de l'estatus qualificat. Aquest estatus es reevalua com a mínim cada 24 mesos (article 20 §1 eIDAS).

• Notificar a l'ANSSI qualsevol canvi substantiu dels seus serveis dins d'un termini de 3 mesos abans de la modificació prevista (article 21 eIDAS).

El no respecte d'aquestes etapes exposa el prestatari a una radiació de la TSL i a la pèrdua de les presuncions jurídiques associades a la signatura qualificada. Per a les empreses clientes, recórrer a un PSCo no llistat a la TSL equival a no beneficiar-se de cap presumpció legal de fiabilitat.

> Per saber-ne més sobre els diferents nivells de signatura i els seus efectes jurídics, consulteu el nostre .

---

Obligacions tècniques i de seguretat imposades als PSCo

Respecte de les normes ETSI

Els prestataris qualificats han de conformar-se a un conjunt de normes europees publicades per l'Institut Europeu de Normes de Telecomunicacions (ETSI). Les principals són :

• ETSI EN 319 401 : exigències generals de seguretat aplicables a tots els PSCo.

• ETSI EN 319 411-1 i 411-2 : polítiques i pràctiques de les autoritats de certificació que lliuren certificats de signatura qualificada.

• ETSI EN 319 132 : formats de signatura electrònica avançada (XAdES per a XML, PAdES per a PDF, CAdES per a CMS).

• ETSI EN 319 122 : format CAdES per a signatures qualificades.

• ETSI TS 119 431 : exigències per a serveis de creació de signatura a distància (QSCD distant).

Aquestes normes no són optatives : el reglament eIDAS (Annex II, III i IV) hi fa referència explícitament per definir les exigències mínimes dels certificats qualificats i dels dispositius de creació de signatura.

Gestió dels dispositius segurs de creació de signatura (QSCD)

Un dels pilars de la signatura qualificada és l'ús d'un dispositiu segur de creació de signatura (QSCD — Qualified Signature Creation Device) conforme a l'Annex II d'eIDAS. El prestatari ha de garantir que :

• La clau privada del signatari no pot ser generada, emmagatzemada o copiada fora del QSCD.

• La generació de la clau es realitza exclusivament en un entorn certificat (certificació Common Criteria EAL 4+ o equivalent).

• L'autenticació del signatari precedent tot acte de signatura es fonamenta en almenys dos factors d'autenticació.

En un context de signatura a distància — cada vegada més freqüent en els entorns SaaS — aquestes exigències s'apliquen al servidor HSM (Hardware Security Module) que allotja les claus. L'ANSSI ha publicat perfils de protecció específics (PP-0075, PP-0076) definint els criteris de seguretat a assolir.

Política de continuïtat i notificació d'incidents

L'article 19 d'eIDAS imposa a tot prestatari de serveis de confiança (qualificat o no) :

• Notificar l'autoritat de supervisió (ANSSI) i, si escau, l'autoritat de protecció de dades (CNIL), dins de 24 hores següents a la detecció d'una violació de seguretat susceptible de tenir un impacte en la fiabilitat del servei.

• Mantenir un pla de continuïtat d'activitat documentat i provat regularment.

• Disposar d'una política de seguretat de la informació formalitzada, cobrint especialment la gestió dels riscos, la gestió d'incidents i la política de còpia de seguretat.

Aquestes exigències es sobreposar parcialment amb les de la directiva NIS2 (2022/2555/UE), transposada en dret francès per la llei nº 2023-703 de l'1 d'agost de 2023, que classifica els PSCo de mida significativa entre les entitats importants o essencials sotmeses a obligacions reforçades de ciberseguretat.

> Descobriu com la ha d'integrar aquestes restriccions en els seus workflows documentaris.

---

Obligacions RGPD específiques als PSCo

El PSCo, responsable de tractament o subcontractista ?

La qualificació RGPD del prestatari depèn de la naturalesa del servei prestat :

• Quan el PSCo lliura directament certificats qualificats en nom del signatari i determina les finalitats del tractament de dades personals (identitat, dades biomètriques d'autenticació), actua com a responsable de tractament al sentit de l'article 4(7) RGPD.

• Quan integra la seva API a la plataforma d'un client B2B i tracta les dades personals segons les úniques instruccions d'aquest client, reveu la qualitat de subcontractista (article 4(8) RGPD) i ha de obligatòriament signar un DPA (Data Processing Agreement) conforme a l'article 28 RGPD.

En la pràctica, la majoria dels PSCo SaaS sumen les dues qualitats : responsable per a la gestió de la seva pròpia infraestructura de certificació, subcontractista per al tractament dels documents i metadades dels signataris.

Obligacions específiques lligades a les dades biomètriques i d'identitat

La identificació i autenticació del signatari — pas obligatori per lliurar un certificat qualificat — implica sovint el tractament de dades sensibles : escanneig de document d'identitat, selfie vídeo, dades biomètriques de reconeixement facial. Aquestes dades constitueixen dades de caràcter personal sotmeses al RGPD, fins i tot dades biomètriques regulades per l'article 9 RGPD (categories especials).

Les obligacions del PSCo inclouen :

• Base legal : el consentiment explícit (article 9§2a) o, en certs casos, l'obligació legal (article 9§2b) per al tractament de dades biomètriques.

• Durada de conservació limitada : segons les línies directrius CNIL, les dades d'identificació han de conservar-se el temps estrictament necessari, generalment alineat amb la durada de validesa del certificat + durada legal de prova (sovint 10 anys per a actes sota signe privat, article 2224 del Codi civil).

• Anàlisi d'impacte (AIPD) obligatòria (article 35 RGPD) des que el tractament és susceptible d'engendrar un risc elevat — cosa que és sistemàticament el cas per a la biometria.

• Registre dels tractaments (article 30 RGPD) mantingut al dia i documentant cada categoria de tractament.

Transferències internacionals de dades

Molts PSCo allotgen tot o part de la seva infraestructura fora de l'Espai Econòmic Europeu (EEE). En aquest cas, les garanties apropiades exigides pel capítol V RGPD s'imposen : decisió d'adequació, clàusules contractuals tipus (SCCs) de la Comissió europea o regles d'empresa vinculants (BCR). L'arresto Schrems II (CJUE, C-311/18, 16 de juliol de 2020) va recordar que les transferències cap als Estats Units requereixen una anàlisi prèvia de risc de país.

> Per comprendre l'impacte d'aquestes regles en la vostra organització, consulteu el nostre .

---

Obligacions de transparència i informació cap als usuaris

Política de certificació (PC) i declaració de les pràctiques de certificació (DPC)

Tot PSCo que lliura certificats està obligat a publicar una Política de Certificació (PC) i una Declaració de les Pràctiques de Certificació (DPC), conformement a la norma ETSI EN 319 411. Aquests documents, lliurement accessibles, detallen :

• Els procediments d'identificació i registre dels signataris.

• Les mesures de seguretat físiques i lògiques desplegades.

• Les condicions de revocació dels certificats i els terminis associats.

• Les responsabilitats i limitacions de garantia del PSCo.

L'absència o incompletesa d'aquests documents constitueix una no conformitat susceptible de ser rellevada durant l'auditoria de recertificació per l'organisme acreditat.

Informació precontractual i contractual dels clients

Més enllà de les obligacions purament tècniques, l'article 13 RGPD imposa al PSCo de proporcionar a cada persona de qui es recullen dades una informació clara i accessible sobre :

• La identitat del responsable de tractament i les coordenades del DPO (obligatòria pels PSCo que tracten a gran escala dades sensibles, article 37 RGPD).

• Les finalitats i bases legals de cada tractament.

• Els drets de les persones (accés, rectificació, supressió, portabilitat, oposició).

• Els possibles destinataris de les dades (subcontractistes, autoritats).

Aquestes informacions han de figurar a la política de privacitat del servei, a les CGU i, si escau, al DPA signat amb els clients professionals.

Horodatge qualificat i pista d'auditoria

Per garantir el valor probant a llarg termini de les signatures, els PSCo seriosos associen sistemàticament un horodatge electrònic qualificat (article 42 eIDAS) a cada acte signat. Aquest horodatge constitueix una prova legalment presumida de l'existència de la dada a la data indicada. La conservació de la pista d'auditoria (logs d'identificació, empremta del document, dades de la signatura) és una obligació de facto per a permetre qualsevol verificació judicial posterior.

> Compareu les solucions del mercat segons aquests criteris en el nostre .

---

eIDAS 2.0 : les noves obligacions a l'horitzó 2026-2027

El reglament eIDAS 2.0 (UE) 2024/1183

Publicat al Diari oficial de la UE el 30 d'abril de 2024, el reglament (UE) 2024/1183 dit « eIDAS 2.0 » reforça significativament les obligacions dels PSCo entorn de tres eixos :

• El Portafolis Europeu d'Identitat Digital (EUDI Wallet) : els Estats membres han de posar a disposició un portafolis d'identitat digital certificat abans del 2 de novembre de 2026. Els PSCo hauran d'integrar el seu servei amb aquest portafolis per oferir signatures qualificades via l'identitat eIDAS 2.0.

• La gestió de les attestacions d'atributs : eIDAS 2.0 introdueix les attestacions d'atributs qualificades (QEAAs), lliurades per prestataris qualificats d'attestació. Es aplicaran nous procediments d'auditoria i qualificació.

• El reforç de la supervisió : les autoritats nacionals de supervisió (ANSSI per a França) veuen els seus poders ampliats, especialment la capacitat de diligenciar auditorias sorpresa i d'imposar mesures correctives vinculants dins de terminis reduïts.

Implicacions pràctiques per als prestataris actuals

Els PSCo ja qualificats sota eIDAS 1.0 hauran de procedir a una posada en conformitat progressiva abans dels terminis fixats pels actes d'execució de la Comissió (publicats o en curs de publicació). Les principals adaptacions afecten :

• La refeta de la infraestructura d'identificació per suportar l'EUDI Wallet com a mitjà d'autenticació.

• L'actualització de les PC/DPC per integrar les noves tipologies de certificats i attestacions.

• El reforç de les exigències de seguretat dels QSCD distants, amb nous perfils de protecció pròxims.

Per a les empreses clientes, això significa verificar ja avui que el seu prestatari disposa d'una roadmap de conformitat eIDAS 2.0 documentada i verificable.

Marc legal aplicable a les obligacions dels prestataris de signatura electrònica

La cadena normativa aplicable als prestataris de signatura electrònica que operen a França s'articula en diversos nivells jeràrquics complementaris.

Codi civil francès — Articles 1366 i 1367

L'article 1366 del Codi civil reconeix l'escrit electrònic com a mode de prova equivalent a l'escrit en paper, sempre que « puigui ser degudament identificada la persona de la qual emana i que es trobi establert i conservat en condicions de natura a garantir-ne la integritat ». L'article 1367 precisa que la signatura electrònica « consisteix en l'ús d'un procediment fiable d'identificació garantint la seva connexió amb l'acte al qual s'adjunta ». La presumpció de fiabilitat beneficia les signatures qualificades al sentit d'eIDAS, invertint la càrrega de la prova a favor del signatari.

Reglament eIDAS nº 910/2014/UE

Aquest reglament, d'aplicació directa en tots els Estats membres, estableix el marc jurídic dels serveis de confiança. El seu article 26 defineix les condicions de la signatura electrònica avançada ; el seu article 28 les exigències dels certificats qualificats ; el seu Annex I detalla el contingut obligatori d'aquests certificats. Els PSCo qualificats es beneficien d'una presumpció de conformitat amb les exigències tècniques i jurídiques del reglament (article 19§2), la qual cosa constitueix un avantatge important en cas de litige.

Reglament eIDAS 2.0 — (UE) 2024/1183

Publicat el 30 d'abril de 2024, aquest reglament modificatiu introdueix noves categories de serveis de confiança (attestacions d'atributs qualificades, serveis d'arxiu qualificats) i reforça les obligacions de supervisió. Abroga i substitueix parcialment el reglament 910/2014, amb una aplicabilitat progressiva segons els actes d'execució de la Comissió europea.

RGPD — Reglament (UE) 2016/679

El RGPD s'aplica a tot tractament de dades personals realitzat en el context d'un servei de signatura electrònica. Els articles 5 (principis de legalitat), 6 (base legal), 9 (dades sensibles), 13-14 (informació), 28 (subcontractació), 32 (seguretat), 33-34 (notificació de violació), 35 (AIPD) i 37 (DPO) constitueixen les disposicions més freqüentment aplicables. La CNIL és l'autoritat de control competent a França i pot imposar amendes de fins a 20 milions d'euros o el 4 % de la facturació mundial anual (article 83§5 RGPD).

Directiva NIS2 — (UE) 2022/2555

Transposada en dret francès per la llei nº 2023-703 de l'1 d'agost de 2023, NIS2 classifica els PSCo significatius entre les entitats importants o essencials sotmeses a obligacions de gestió dels riscos ciber i de notificació d'incidents a l'ANSSI dins de 24 hores (alerta primerenca) i després 72 hores (notificació completa).

Normes ETSI

El conjunt de normes EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 i TS 119 431 constitueix la referència tècnica obligatòria per a l'auditoria de qualificació. La seva manca de respecte entraña la impossibilitat d'obtenir o mantenir l'estatus qualificat.

Riscos jurídics en cas de no conformitat

Un prestatari no conforme s'exposa a : radiació de la TSL francesa, compromís de la seva responsabilitat contractual i extracontractual, sancions administratives CNIL, amendes NIS2 que poden assolir 10 milions d'euros o el 2 % de la CA mundial per a les entitats importants i 20 milions o el 4 % de la CA per a les entitats essencials, així com a recursos judiciaris dels clients que han sofert perjudici per signatures no vàlides legalment.

Escenaris d'ús : com les empreses verifiquen la conformitat del seu PSCo

Escenari 1 — Un grup industrial gestionant 3 000 contractes proveïdors per any

Un grup industrial de mida intermèdia (ETI), actiu en la fabricació d'equipaments mecànics, dematérialitza el conjunt dels seus contractes proveïdors via una plataforma SaaS de signatura electrònica. Durant una auditoria interna desencadenada després d'una evolució regulatòria, la direcció jurídica constata que el prestatari seleccionat — inicialment triat per criteri de preu — no està referenciat ni a la TSL francesa, ni a cap altra TSL europea. Les signatures lliurades són de tipus « simple » sense mecanisme d'identificació robust del signatari.

Enfrontant el risc jurídic — el conjunt dels contractes signats podria veure contesta el seu valor probant en cas de litige — l'empresa compromet una migració cap a un PSCo qualificat ANSSI. La nova solució integra una signatura avançada amb certificat qualificat, un horodatge qualificat i una pista d'auditoria exportable. El projecte de migració, realitzat en menys de 8 setmanes, permet de securitzar retroactivament els nous actes i establir una política documentaria conforme. Els equips jurídics estimen que el risc contenciós lligat als contractes antics resta marginal pel fet de la seva execució sense contestació, però tota nova signatura està ara coberta.

Guanys observats : reducció del 60 % dels litigis potencials lligats a l'autenticitat de les signatures, i guany de 3,5 dies de termini mitjà de signatura en els contractes complexos gràcies a l'automatització del workflow de validació.

Escenari 2 — Un despatx d'advocats de 25 col·laboradors especialitzat en dret dels negocis

Un despatx d'advocats que desitja digitalitzar la signatura dels mandats, les consultacions i els actes de procediment avalua diversos prestataris. La seva graella d'anàlisi integra els criteris següents : presència a la TSL, publicació d'una PC/DPC accessible, existència d'un DPA conforme RGPD, disponibilitat d'un DPO contactable i certificació dels QSCD distants.

Entre cinc prestataris avaluats, només dos satisfan l'integralitat dels criteris. El despatx selecciona finalment un PSCo oferint nativament una signatura qualificada via QSCD distant, garantint la presumpció de fiabilitat de l'article 1367 del Codi civil. La implementació pren 3 setmanes, formació inclosa. Resultat : el 75 % dels mandats estan ara signats en menys de 24 hores contra 5 a 7 dies anteriorment (enviament postal), i el despatx pot justificar als seus clients el nivell de seguretat jurídica ofert per la solució — un argument diferenciador en les seves propostes comercials.

Escenari 3 — Un agrupament hospitalari d'uns 1 200 llits

Un agrupament hospitalari públic desitja dematérializar els contractes de treball, les convencions de pràctica i els acords d'associació amb establiments de cura associats. La sensibilitat de les dades tractades (dades de salut del personal sanitari, dades de RH) imposa una vigilància particular sobre les obligacions RGPD del PSCo.

La DSI i el DPO de l'establiment exigeixen : allotjament de les dades a França en un allotjador de dades de salut certificat HDS (Allotjador de Dades de Salut, certificació prevista per l'article L.1111-8 del Codi de salut pública), absència de transferència fora de l'EEE, AIPD documentada pel tractament d'identificació dels signataris, i DPA signat abans de qualsevol posada en producció.

Després de la selecció d'un PSCo responent a aquests criteris, el desplegament cobreix en prioritat els contractes de RH (uns 800 actes per any). El termini mitjà de signatura dels contractes a durada determinada passa de 9 dies a menys de 48 hores, alliberant una capacitat significativa per als equips de recursos humans. L'establiment disposa a més d'una trazabilitat completa dels consentiments recollits, auditada anualment per el seu DPO.

Conclusió

Les obligacions legals que pesen sobre els prestataris de signatura electrònica a França formen un corpus normatiu exigent : qualificació eIDAS, conformitat RGPD, respecte de les normes ETSI, obligacions NIS2 i adaptació immediata a eIDAS 2.0. Per a les empreses usuàries, assegurar-se de la conformitat del seu PSCo no és una iniciativa opcional — és una condició sine qua non del valor probant dels actes signats i de la protecció de les dades personals dels signataris.

Certyneo és un prestatari de signatura electrònica dissenyat per respondre a la totalitat d'aquestes exigències : conformitat eIDAS, RGPD by design, allotjament sobira i roadmap eIDAS 2.0 documentada. Preparats per securitzar les vostres signatures en plena conformitat ? i beneficiar-vos d'un acompanyament personalitzat des del primer dia.