Obligacions del prestador de signatura electrònica a França

Introducció

Desplegar una solució de signatura electrònica a França no s'improvisa. Darrere cada signatura qualificada o avançada es troben desenes d'obligacions legals que incumbeixen al prestador de serveis de confiança (PSCo). Reglament eIDAS, RGPD, referencial general de seguretat, normes ETSI... el marc regulatori és alhora dens i evolutiu. Per a les empreses usuàries, comprendre aquestes obligacions legals prestador signatura electrònica França eIDAS RGPD és indispensable per a triar un soci conforme i evitar tot risc jurídic. Aquest article detalla, secció per secció, el conjunt de requisits aplicables als PSCo que operen al territori francès.

---

L'estatut de prestador de serveis de confiança qualificat

Què és un PSCo al sentit d'eIDAS?

El reglament eIDAS núm. 910/2014 distingeix dues categories de prestadors: els prestadors de serveis de confiança no qualificats i els prestadors qualificats (PSCQ). Els primers poden proposar serveis de signatura electrònica simple o avançada sense auditoria terc obligatòria. Els segons — únicament autoritzats a lliurar signatures qualificades al sentit de l'article 3(15) d'eIDAS — han de satisfer requisits considerablement més estrictes.

A França, és l'Agència Nacional de la Seguretat dels Sistemes d'Informació (ANSSI) la que exerceix la funció d'autoritat de supervisió (« Supervisory Body ») prevista per l'article 17 d'eIDAS. Publica i manté la llista de confiança francesa (TSL — Trust Service List), accessible a la seva web oficial, que enumera els prestadors qualificats i els seus serveis.

El procediment de qualificació: auditoria i conformitat

Per obtenir l'estatut qualificat, un PSCo ha de obligatòriament:

• Fer auditar els seus serveis per un organisme d'avaluació de la conformitat (CAB — Conformity Assessment Body) acreditat pel COFRAC segons la norma EN ISO/IEC 17065.

• Presentar l'informe d'auditoria a l'ANSSI, que es pronuncia sobre l'atorgament de l'estatut qualificat. Aquest estatut és reevaluat almenys cada 24 mesos (article 20 §1 eIDAS).

• Notificar l'ANSSI de tot canvi substantiu en els seus serveis en un termini de 3 mesos abans de la modificació prevista (article 21 eIDAS).

L'incompliment d'aquestes fases exposa el prestador a una expulsió de la TSL i a la pèrdua de les presuncions jurídiques associades a la signatura qualificada. Per a les empreses clientes, recórrer a un PSCo no llistat a la TSL equival a no beneficiar-se de cap presumpció legal de fiabilitat.

> Per approfundir en els diferents nivells de signatura i els seus efectes jurídics, consulteu la nostra guia completa del reglament eIDAS 2.0.

---

Obligacions tècniques i de seguretat imposades als PSCo

Respecte de les normes ETSI

Els prestadors qualificats han de conformar-se a un conjunt de normes europees publicades pel Instituto Europeu de Normes de Telecomunicacions (ETSI). Les principals són:

• ETSI EN 319 401: requisits generals de seguretat aplicables a tots els PSCo.

• ETSI EN 319 411-1 i 411-2: polítiques i pràctiques de les autoritats de certificació que lliuren certificats de signatura qualificada.

• ETSI EN 319 132: formats de signatura electrònica avançada (XAdES per XML, PAdES per PDF, CAdES per CMS).

• ETSI EN 319 122: format CAdES per a signatures qualificades.

• ETSI TS 119 431: requisits per a serveis de creació de signatura a distància (QSCD distant).

Aquestes normes no són opcionals: el reglament eIDAS (Annex II, III i IV) hi fa referència explícitament per definir els requisits mínims dels certificats qualificats i dels dispositius de creació de signatura.

Gestió dels dispositius de creació de signatura segurs (QSCD)

Un dels pilars de la signatura qualificada és l'ús d'un dispositiu segur de creació de signatura (QSCD — Qualified Signature Creation Device) conforme a l'Annex II d'eIDAS. El prestador ha de garantir que:

• La clau privada del signatari no es pot generar, emmagatzemar o copiar fora del QSCD.

• La generació de la clau es realitza exclusivament en un entorn certificat (certificació Common Criteria EAL 4+ o equivalent).

• L'autenticació del signatari anterior a tot acte de signatura es basa en almenys dos factors d'autenticació.

En un context de signatura a distància — cada vegada més habitual en entorns SaaS — aquests requisits s'apliquen al servidor HSM (Hardware Security Module) que hostatja les claus. L'ANSSI ha publicat perfils de protecció específics (PP-0075, PP-0076) que defineixen els criteris de seguretat a assolir.

Política de continuïtat i notificació d'incidents

L'article 19 d'eIDAS imposa a tot prestador de serveis de confiança (qualificat o no) de:

• Notificar l'autoritat de supervisió (ANSSI) i, si escau, l'autoritat de protecció de dades (CNIL), dins de 24 hores següents a la detecció d'una violació de seguretat susceptible de tenir un impacte en la fiabilitat del servei.

• Mantenir un pla de continuïtat d'activitat documentat i provat regularment.

• Disposar d'una política de seguretat de la informació formalitzada, que cobreixi especialment la gestió de riscos, la gestió d'incidents i la política de còpia de seguretat.

Aquests requisits es recorren parcialment amb els de la directiva NIS2 (2022/2555/UE), transposada al dret francès per la llei núm. 2023-703 de l'1 d'agost de 2023, que classifica els PSCo de mida significativa entre les entitats importants o essencials subjectes a obligacions reforçades de ciberseguretat.

> Descobreix com la signatura electrònica per als bufets jurídics ha d'integrar aquestes restriccions en els seus workflows documentaris.

---

Obligacions RGPD específiques als PSCo

El PSCo, responsable del tractament o subcontractant?

La qualificació RGPD del prestador depèn de la natura del servei prestat:

• Quan el PSCo lliura directament certificats qualificats en nom del signatari i determina les finalitats del tractament de dades personals (identitat, dades biomètriques d'autenticació), actua com a responsable del tractament al sentit de l'article 4(7) RGPD.

• Quan integra la seva API a la plataforma d'un client B2B i tracta les dades personals segons les úniques instruccions d'aquest client, revisteix la qualitat de subcontractant (article 4(8) RGPD) i ha de obligatòriament concloure un DPA (Data Processing Agreement) conforme a l'article 28 RGPD.

En la pràctica, la majoria dels PSCo SaaS acumulen les dues qualitats: responsables per a la gestió de la seva pròpia infraestructura de certificació, subcontractants per al tractament dels documents i metadades dels signataris.

Obligacions específiques vinculades a dades biomètriques i d'identitat

L'identificació i autenticació del signatari — etapa obligatòria per lliurar un certificat qualificat — sovint implica el tractament de dades sensibles: scan de document d'identitat, selfie de vídeo, dades biomètriques de reconeixement facial. Aquestes dades constitueixen dades de caràcter personal sotmeses al RGPD, i fins i tot dades biomètriques que cauen sota l'article 9 RGPD (categories especials).

Les obligacions del PSCo inclouen:

• Base jurídica: el consentiment explícit (article 9§2a) o, en certs casos, l'obligació legal (article 9§2b) per al tractament de dades biomètriques.

• Durada de conservació limitada: segons les directrius CNIL, les dades d'identificació han de conservar-se el temps estrictament necessari, generalment alineat amb la durada de validesa del certificat + durada legal de prova (sovint 10 anys per a actes sota senyera privada, article 2224 del Codi civil).

• Anàlisi d'impacte (AIPD) obligatòria (article 35 RGPD) des del moment que el tractament és susceptible de provocar un risc elevat — cosa que és sistemàticament el cas de la biometria.

• Registre dels tractaments (article 30 RGPD) mantingut al dia i documentant cada categoria de tractament.

Transferències internacionals de dades

Molts són els PSCo que hostatgen tota o part de la seva infraestructura fora de l'Espai Econòmic Europeu (EEE). En aquest cas, les garanties adequades exigides pel capítol V RGPD s'imposen: decisió d'adequació, clàusules contractuals tipus (SCCs) de la Comissió Europea o regles d'empresa vinculants (BCR). La sentència Schrems II (TJUE, C-311/18, 16 de juliol de 2020) ha recordat que les transferències als Estats Units requereixen una anàlisi prèvia de risc país.

> Per comprendre l'impacte d'aquestes regles en la vostra organització, consulteu la nostra guia sobre signatura electrònica en empresa.

---

Obligacions de transparència i informació envers els usuaris

Política de certificació (PC) i declaració de pràctiques de certificació (DPC)

Tot PSCo que lliura certificats està obligat a publicar una Política de Certificació (PC) i una Declaració de Pràctiques de Certificació (DPC), conforme a la norma ETSI EN 319 411. Aquests documents, lliurement accessibles, detallen:

• Els procediments d'identificació i registre dels signataris.

• Les mesures de seguretat física i lògica desplegades.

• Les condicions de revocació dels certificats i els terminis associats.

• Les responsabilitats i limitacions de garantia del PSCo.

L'absència o incompletesa d'aquests documents constitueix una no-conformitat susceptible de ser detectada durant l'auditoria de recalificació per l'organisme acreditat.

Informació precontractual i contractual dels clients

Més enllà de les obligacions purament tècniques, l'article 13 RGPD imposa al PSCo de proporcionar a cada persona les dades de la qual es recopilen una informació clara i accessible sobre:

• La identitat del responsable del tractament i les dades de contacte del DPO (obligatori per als PSCo que tracten a gran escala dades sensibles, article 37 RGPD).

• Les finalitats i bases jurídiques de cada tractament.

• Els drets de les persones (accés, rectificació, supressió, portabilitat, oposició).

• Els possibles destinataris de les dades (subcontractants, autoritats).

Aquesta informació ha de figurar en la política de privacitat del servei, en les CGU i, si escau, en el DPA concloent amb els clients professionals.

Estampill de temps qualificat i pista d'auditoria

Per garantir el valor probant a llarg termini de les signatures, els PSCo seriosos associen sistemàticament un estampill de temps electrònic qualificat (article 42 eIDAS) a cada acte signat. Aquesta marca temporal constitueix una prova legalment presumida de l'existència de la dada a la data indicada. La conservació de la pista d'auditoria (logs d'identificació, empremta del document, dades de la signatura) és una obligació de fet per permetre tota verificació judicial posterior.

> Compara les solucions del mercat segons aquests criteris en la nostra comparativa de solucions de signatura electrònica.

---

eIDAS 2.0: les noves obligacions a l'horitzó 2026-2027

El reglament eIDAS 2.0 (UE) 2024/1183

Publicat al Diari Oficial de la UE el 30 d'abril de 2024, el reglament (UE) 2024/1183 dit « eIDAS 2.0 » reforça significativament les obligacions dels PSCo al voltant de tres eixos:

• La Cartera Europea d'Identitat Digital (EUDI Wallet): els Estats membres han de posar a disposició una cartera d'identitat digital certificada abans del 2 de novembre de 2026. Els PSCo hauran d'integrar el seu servei amb aquesta cartera per oferir signatures qualificades via l'identitat eIDAS 2.0.

• La gestió d'attestacions d'atributs: eIDAS 2.0 introdueix les attestacions d'atributs qualificades (QEAAs), lliurades per prestadors qualificats d'attestació. S'aplicaran nous procediments d'auditoria i qualificació.

• El reforç de la supervisió: les autoritats nacionals de supervisió (ANSSI per a França) veuen ampliats els seus poders, notamment la capacitat de diligenciar auditories sorpresa i d'imposar mesures correctores vinculants en terminis raccurtats.

Implicacions pràctiques per als prestadors actuals

Els PSCo ja qualificats sota eIDAS 1.0 hauran de procedir a una adaptació progressiva abans de les dates límit establertes pels actes d'execució de la Comissió (publicats o en curs de publicació). Les principals adaptacions concerneixen:

• La refondació de la infraestructura d'identificació per suportar l'EUDI Wallet com a mitjà d'autenticació.

• L'actualització de les PC/DPC per integrar les noves tipologies de certificats i attestacions.

• El reforç de requisits de seguretat dels QSCD distants, amb nous perfils de protecció vinents.

Per a les empreses clientes, això significa verificar des d'avui que el seu prestador disposa d'una roadmap de conformitat eIDAS 2.0 documentada i verificable.

Marc legal aplicable a les obligacions dels prestadors de signatura electrònica

La cadena normativa aplicable als prestadors de signatura electrònica que operen a França s'articula en diversos nivells jeràrquics complementaris.

Codi Civil Francès — Articles 1366 i 1367

L'article 1366 del Codi Civil reconeix l'escrit electrònic com a mode de prova equivalent a l'escrit en paper, sempre que « pugui ser degudament identificada la persona de la qual emana i que estigui establert i conservat en condicions que garanteixin la seva integritat ». L'article 1367 precisa que la signatura electrònica « consisteix en l'ús d'un procediment fiable d'identificació que garanteixi la seva connexió amb l'acte al qual s'adjunta ». La presumpció de fiabilitat beneficia les signatures qualificades al sentit d'eIDAS, invertint la càrrega de la prova en favor del signatari.

Reglament eIDAS núm. 910/2014/UE

Aquest reglament, d'aplicació directa en tots els Estats membres, estableix el marc jurídic dels serveis de confiança. El seu article 26 defineix les condicions de la signatura electrònica avançada; el seu article 28 els requisits dels certificats qualificats; el seu Annex I detalla el contingut obligatori d'aquests certificats. Els PSCo qualificats es beneficien d'una presumpció de conformitat als requisits tècnics i jurídics del reglament (article 19§2), cosa que constitueix un avantatge major en cas de litigi.

Reglament eIDAS 2.0 — (UE) 2024/1183

Publicat el 30 d'abril de 2024, aquest reglament modificatiu introdueix noves categories de serveis de confiança (attestacions d'atributs qualificades, serveis d'arxiu qualificats) i reforça les obligacions de supervisió. Abroga i reemplaça parcialment el reglament 910/2014, amb una aplicabilitat progressiva segons els actes d'execució de la Comissió Europea.

RGPD — Reglament (UE) 2016/679

El RGPD s'aplica a tot tractament de dades personals realitzat en el marc d'un servei de signatura electrònica. Els articles 5 (principis de legalitat), 6 (base jurídica), 9 (dades sensibles), 13-14 (informació), 28 (subcontractació), 32 (seguretat), 33-34 (notificació de violació), 35 (AIPD) i 37 (DPO) constitueixen les disposicions més freqüentment aplicables. La CNIL és l'autoritat de control competent a França i pot imposar multes fins a 20 milions d'euros o 4% de la facturació mundial anual (article 83§5 RGPD).

Directiva NIS2 — (UE) 2022/2555

Transposada al dret francès per la llei núm. 2023-703 de l'1 d'agost de 2023, NIS2 classifica els PSCo significatius entre les entitats importants o essencials subjectes a obligacions de gestió de riscos ciber i notificació d'incidents a l'ANSSI dins de 24 hores (alerta primerenca) i després 72 hores (notificació completa).

Normes ETSI

El conjunt de normes EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 i TS 119 431 constitueix la referència tècnica obligatòria per a l'auditoria de qualificació. El seu incompliment comporta la impossibilitat d'obtenir o mantenir l'estatut qualificat.

Riscos jurídics en cas de no-conformitat

Un prestador no conforme s'exposa a: expulsió de la TSL francesa, compromís de la seva responsabilitat contractual i extracontractual, sancions administratives CNIL, multes NIS2 que poden assolir 10 milions d'euros o 2% de la CA mundial per a entitats importants i 20 milions o 4% de la CA per a entitats essencials, així com reclamacions judicials dels clients que hagin sofert un perjudici degut a signatures no vàlides legalment.

Escenaris d'ús: com les empreses verifica la conformitat del seu PSCo

Escenari 1 — Un grup industrial que gestiona 3 000 contractes de proveïdors per any

Un grup industrial de mida mitjana (ETI), actiu en la fabricació d'equipaments mecànics, desmaterialitza la totalitat dels seus contractes de proveïdors a través d'una plataforma SaaS de signatura electrònica. Durant una auditoria interna desencadenada per una evolució reglamentària, la direcció jurídica constata que el prestador triat — inicialment escollit per criteri de preu — no està referenciat ni a la TSL francesa, ni a cap TSL europea. Les signatures lliurades són de tipus « simple » sense mecanisme robust d'identificació del signatari.

Davant el risc jurídic — la totalitat dels contractes signats podria veure contestada la seva valor probant en cas de litigi — l'empresa inicia una migració vers un PSCo qualificat ANSSI. La nova solució integra una signatura avançada amb certificat qualificat, un estampill de temps qualificat i una pista d'auditoria exportable. El projecte de migració, realitzat en menys de 8 setmanes, permet sectoritzar retroactivament els nous actes i establir una política documentària conforme. Els equips jurídics estimen que el risc contenciós vinculat als antics contractes és marginal pel fet de la seva execució sense contestació, però tota nova signatura està actualment coberta.

Guanys observats: reducció del 60% en licitges potencials relacionats amb l'autenticitat de les signatures, i guany de 3,5 dies de termini mitjà de signatura en contractes complexos gràcies a l'automatització del workflow de validació.

Escenari 2 — Un bufet d'avocats de 25 col·laboradors especialitzat en dret de la negociació

Un bufet d'avocats que desitja digitalitzar la signatura de mandats, consultes i actes de procediment avalua diversos prestadors. La seva graella d'anàlisi integra els criteris següents: presència a la TSL, publicació d'una PC/DPC accessible, existència d'un DPA conforme RGPD, disponibilitat d'un DPO contactable i certificació dels QSCD distants.

Entre cinc prestadors avaluats, només dos satisfan la totalitat dels criteris. El bufet finalment selecciona un PSCo que ofereix nativament una signatura qualificada via QSCD distant, garantint la presumpció de fiabilitat de l'article 1367 del Codi Civil. La implementació pren 3 setmanes, formació inclosa. Resultat: el 75% dels mandats es signaven actualment en menys de 24 hores en comptes de 5 a 7 dies anteriorment (enviament postal), i el bufet pot justificar davant dels seus clients el nivell de seguretat jurídica ofert per la solució — un argument diferencial en les seves propostes comercials.

Escenari 3 — Un agrupament hospitalari d'aproximadament 1 200 llits

Un agrupament hospitalari públic desitja desmaterialitzar els contractes de treball, les convencions de pràctiques i els acords de partenariat amb establiments de cura associats. La sensibilitat de les dades tractades (dades de salut del personal sanitari, dades RH) imposa una vigilància particular sobre les obligacions RGPD del PSCo.

La DSI i el DPO de l'establiment exigeixen: hostatjament de dades a França en un hostatger de dades de salut certificat HDS (Hostatger de Dades de Salut, certificació prevista per l'article L.1111-8 del Codi de salut pública), absència de transferència fora de l'EEE, AIPD documentada per al tractament d'identificació dels signataris, i DPA signat abans de qualsevol posada en producció.

Després de la selecció d'un PSCo que compleix aquests criteris, el desplegament cobreix en prioritat els contractes RH (aproximadament 800 actes per any). El termini mitjà de signatura dels contractes a termini determinat passa de 9 dies a menys de 48 hores, alliberant una capacitat significativa per als equips de recursos humans. L'establiment disposa a més d'una traçabilitat completa dels consentiments recollits, auditada anualment pel seu DPO.

Conclusió

Les obligacions legals que pesen sobre els prestadors de signatura electrònica a França formen un corpus normatiu exigent: qualificació eIDAS, conformitat RGPD, respecte de les normes ETSI, obligacions NIS2 i adaptació imminent a eIDAS 2.0. Per a les empreses usuàries, assegurar-se de la conformitat del seu PSCo no és una tasca opcional — és una condició sine qua non del valor probant dels actes signats i de la protecció de les dades personals dels signataris.

Certyneo és un prestador de signatura electrònica dissenyat per respondre a la totalitat d'aquestes exigències: conformitat eIDAS, RGPD by design, hostatjament sobirà i roadmap eIDAS 2.0 documentada. Preparat per sectoritzar les vostres signatures amb total conformitat? Demaneu una demostració o creeu el vostre compte a Certyneo i beneficieu-vos d'un acompanyament personalitzat des del primer dia.