Povinnosti poskytovatele elektronického podpisu ve Francii

Úvod

Nasazení řešení elektronického podpisu ve Francii se neobejde bez přípravy. Za každým kvalifikovaným nebo pokročilým podpisem se skrývá desítky právních povinností, které spadají na poskytovatele služeb důvěry (PSCo). Nařízení eIDAS, GDPR, obecný referenční rámec bezpečnosti, normy ETSI… právní rámec je zároveň hustý a vyvíjející se. Pro používající podniky je pochopení těchto právních povinností poskytovatele elektronického podpisu Francie eIDAS GDPR nezbytné pro výběr vyhovujícího partnera a vyhnutí se právnímu riziku. Tento článek podrobně popisuje, sekci po sekci, všechny požadavky použitelné na PSCo operující na francouzském území.

---

Postavení kvalifikovaného poskytovatele služeb důvěry

Co je PSCo podle eIDAS?

Nařízení eIDAS č. 910/2014 rozlišuje dvě kategorie poskytovatelů: nekvalifikované poskytovatele služeb důvěry a kvalifikované poskytovatele (PSCQ). První mohou nabízet služby jednoduchého nebo pokročilého elektronického podpisu bez povinného třetího auditu. Druzí — jedinou skupinou oprávněnou vydávat kvalifikované podpisy podle článku 3(15) eIDAS — musí splňovat podstatně přísnější požadavky.

Ve Francii je rolí dohledu (tzv. „Supervisory Body") podle článku 17 eIDAS francouzská Národní agentura pro bezpečnost informačních systémů (ANSSI). Vydává a spravuje seznam francouzských poskytovatelů důvěry (TSL — Trust Service List), dostupný na jejích webových stránkách, obsahující kvalifikované poskytovatele a jejich služby.

Procedura kvalifikace: audit a soulad

Aby PSCo získal kvalifikovaný status, musí povinně:

• Nechat své služby auditovat akreditovanou organizací pro posuzování shody (CAB — Conformity Assessment Body) dle normy EN ISO/IEC 17065.

• Předložit auditní zprávu ANSSI, která rozhodne o udělení kvalifikovaného statusu. Tento status je přehodnocován alespoň každých 24 měsíců (článek 20 §1 eIDAS).

• Oznámit ANSSI jakékoli podstatné změny ve svých službách nejpozději 3 měsíce před plánovanou změnou (článek 21 eIDAS).

Nedodržení těchto kroků vystavuje poskytovatele vyřazení ze seznamu TSL a ztrátě právních presumpancí spojených s kvalifikovaným podpisem. Pro podniky, které jsou zákazníky, použití PSCo, který není uveden v TSL, znamená ztrátu jakékoli právní presumpce spolehlivosti.

> Pokud chcete vědět více o různých úrovních podpisu a jejich právních účincích, podívejte se na naši práci.

---

Technické a bezpečnostní povinnosti uložené PSCo

Soulad s normami ETSI

Kvalifikovaní poskytovatelé musí souladu s řadou evropských norem vydaných Evropským institutem pro telekomunikační normy (ETSI). Nejdůležitější z nich jsou:

• ETSI EN 319 401: obecné požadavky na bezpečnost použitelné na všechny PSCo.

• ETSI EN 319 411-1 a 411-2: politiky a postupy certifikačních autorit vydávajících certifikáty kvalifikovaného podpisu.

• ETSI EN 319 132: formáty pokročilého elektronického podpisu (XAdES pro XML, PAdES pro PDF, CAdES pro CMS).

• ETSI EN 319 122: formát CAdES pro kvalifikované podpisy.

• ETSI TS 119 431: požadavky pro služby vytváření podpisu na dálku (QSCD na dálku).

Tyto normy nejsou volitelné: nařízení eIDAS (Příloha II, III a IV) na ně explicitně odkazují pro definování minimálních požadavků na kvalifikované certifikáty a zařízení pro vytváření podpisu.

Správa kvalifikovaných zařízení pro vytváření podpisu (QSCD)

Jedním z pilířů kvalifikovaného podpisu je použití kvalifikovaného zařízení pro vytváření podpisu (QSCD — Qualified Signature Creation Device) odpovídajícího Příloze II eIDAS. Poskytovatel musí zajistit, aby:

• Privátní klíč podepisujícího nemohl být vygenerován, uložen nebo zkopírován mimo QSCD.

• Generování klíče probíhalo výhradně v certifikovaném prostředí (certifikace Common Criteria EAL 4+ nebo ekvivalent).

• Ověřování totožnosti podepisujícího před jakýmkoli podpisem bylo na základě alespoň dvou faktorů ověřování.

V kontextu podpisu na dálku — stále četnější v prostředích SaaS — se tyto požadavky vztahují na server HSM (Hardware Security Module) hostující klíče. ANSSI vydala specifické profily ochrany (PP-0075, PP-0076) definující bezpečnostní kritéria, která je třeba dosáhnout.

Politika kontinuity a oznamování incidentů

Článek 19 eIDAS zavazuje každého poskytovatele služeb důvěry (kvalifikovaného či ne) k tomu, aby:

• Oznámil dohledující autoritu (ANSSI) a v případě potřeby autoritu pro ochranu údajů (CNIL) do 24 hodin po zjištění porušení bezpečnosti, které by mohlo ovlivnit spolehlivost služby.

• Měl dokumentovaný a pravidelně testovaný plán kontinuity provozu.

• Měl formalizovanou politiku bezpečnosti informací, pokrývající zejména řízení rizik, řízení incidentů a politiku zálohování.

Tyto požadavky se částečně překrývají s těmi ze směrnice NIS2 (2022/2555/EU), implementované do francouzského práva zákonem č. 2023-703 ze 1. srpna 2023, která řadí PSCo významné velikosti mezi důležité či podstatné subjekty s posílenými povinnostmi v oblasti kybernetické bezpečnosti.

> Zjistěte, jak by měl být přístup k ochraně údajů integrován do jejich dokumentačních pracovních postupů.

---

Povinnosti GDPR specifické pro PSCo

Je PSCo správcem údajů nebo zpracovatelem?

Kvalifikace GDPR poskytovatele závisí na povaze poskytované služby:

• Když PSCo přímo vydává kvalifikované certifikáty jménem podepisujícího a určuje účely zpracování osobních údajů (totožnost, biometrické údaje ověřování), jedná se jako správce údajů podle článku 4(7) GDPR.

• Když integruje své API do platformy klienta B2B a zpracovává osobní údaje pouze podle pokynů tohoto klienta, má kvalitu zpracovatele (článek 4(8) GDPR) a musí uzavřít DPA (Data Processing Agreement) v souladu s článkem 28 GDPR.

V praxi se většina PSCo SaaS kombinuje obě kvalifikace: správce pro správu vlastní infrastruktury certifikace, zpracovatel pro zpracování dokumentů a metadat podepisujících.

Specifické povinnosti související s biometrickými a identifikačními údaji

Identifikace a ověření podepisujícího — povinný krok pro vydání kvalifikovaného certifikátu — často zahrnuje zpracování citlivých údajů: sken dokladu totožnosti, videoselfi, biometrické údaje rozpoznávání obličeje. Tyto údaje představují osobní údaje podléhající GDPR, případně biometrické údaje spadající pod článek 9 GDPR (zvláštní kategorie).

Povinnosti PSCo zahrnují:

• Právní základ: výslovný souhlas (článek 9§2a) nebo v některých případech právní povinnost (článek 9§2b) pro zpracování biometrických údajů.

• Omezenou dobu uchovávání: podle pokynů CNIL by měly být identifikační údaje uchovávány jen po dobu přísně nezbytnou, běžně sladěnou s dobou platnosti certifikátu + právní lhůtu důkazu (často 10 let pro soukromoprávní akty, článek 2224 francouzského občanského kodexu).

• Analýzu vlivu (AIPD) je povinná (článek 35 GDPR), pokud zpracování může způsobit vysoké riziko — což je soustavně případ biometrie.

• Registr zpracování (článek 30 GDPR) aktualizovaný a dokumentující každou kategorii zpracování.

Mezinárodní přenosy údajů

Řada PSCo hostuje veškerou nebo část své infrastruktury mimo Evropský hospodářský prostor (EHP). V tomto případě se uplatňují patřičné záruky vyžadované kapitolou V GDPR: rozhodnutí o přiměřenosti, standardní smluvní doložky (SCC) Evropské komise nebo závazná pravidla podnikové skupiny (BCR). Rozhodnutí Schrems II (SDEU, C-311/18, 16. července 2020) připomnělo, že přenosy do Spojených států vyžadují předchozí analýzu rizika podle země.

> Pro pochopení vlivu těchto pravidel na vaši organizaci se podívejte na naši práci.

---

Povinnosti transparentnosti a informování uživatelů

Politika certifikace (PC) a prohlášení o postupech certifikace (DPC)

Každý PSCo vydávající certifikáty je povinen zveřejnit Politiku certifikace (PC) a Prohlášení o postupech certifikace (DPC) v souladu s normou ETSI EN 319 411. Tyto veřejně dostupné dokumenty podrobně popisují:

• Postupy identifikace a registrace podepisujících.

• Fyzická a logická bezpečnostní opatření zavedená.

• Podmínky odvolání certifikátů a související lhůty.

• Odpovědnosti a omezení záruk PSCo.

Nepřítomnost či neúplnost těchto dokumentů představuje nesoulad, který může být zjištěn během auditu pro opětovnou kvalifikaci akreditovanou organizací.

Předsmluvní a smluvní informace pro klienty

Kromě čistě technických povinností ukládá článek 13 GDPR PSCo poskytnutí jasných a přístupných informací každé osobě, jejíž údaje jsou sbírány:

• Totožnost správce údajů a kontakty pověřence pro ochranu údajů (povinný pro PSCo, který ve velkém rozsahu zpracovává citlivé údaje, článek 37 GDPR).

• Účely a právní základy každého zpracování.

• Práva jednotlivců (přístup, oprava, mazání, přenositelnost, námitka).

• Případní příjemci údajů (subdodavatelé, orgány).

Tyto informace musí být zahrnuty v zásadách ochrany soukromí služby, v podmínkách používání a případně v DPA uzavřeným s profesionálními klienty.

Kvalifikovaný časový razítko a audit trail

Aby se zajistila dlouhodobá právní hodnota podpisů, vážení PSCo systematicky spojují kvalifikované elektronické časové razítko (článek 42 eIDAS) s každým podepsaným dokumentem. Toto časové razítko představuje právně presumovaný důkaz existence dat v uvedeném datu. Zachování audit trail (logy identifikace, otisk dokumentu, údaje podpisu) je faktickou povinností umožňující případné ověření v soudním řízení.

> Porovnejte řešení na trhu podle těchto kritérií v naší práci.

---

eIDAS 2.0: nové povinnosti na horizontu 2026-2027

Nařízení eIDAS 2.0 (EU) 2024/1183

Publikované v Úředním věstníku EU 30. dubna 2024, nařízení (EU) 2024/1183 zvané „eIDAS 2.0" významně posiluje povinnosti PSCo kolem tří os:

• Evropská peněženka digitální identity (EUDI Wallet): členské státy musí do 2. listopadu 2026 poskytnout certifikovanou peněženku digitální identity. PSCo budou muset integrovat svou službu s touto peněženkou, aby nabízeli kvalifikované podpisy přes identitu eIDAS 2.0.

• Správa osvědčení atributů: eIDAS 2.0 zavádí kvalifikovaná osvědčení atributů (QEAAs), vydávaná kvalifikovanými poskytovateli osvědčení. Budou se uplatňovat nové postupy auditu a kvalifikace.

• Posílení dohledu: národní dohledující orgány (ANSSI pro Francii) mají rozšířené pravomoci, zejména schopnost provádět neohlášené audity a vytvářet závazná nápravná opatření v kratších lhůtách.

Praktické důsledky pro stávající poskytovatele

PSCo již kvalifikovaní podle eIDAS 1.0 budou muset postupně dosáhnout souladu před stanovenými lhůtami prováděcích aktů Komise (zveřejňované či připravované). Hlavní změny se týkají:

• Přestavby infrastruktury identifikace pro podporu EUDI Wallet jako prostředku ověřování.

• Aktualizace PC/DPC pro integraci nových typů certifikátů a osvědčení.

• Posílení bezpečnostních požadavků na QSCD na dálku, s novými profily ochrany, které budou následovat.

Pro podniky, které jsou zákazníky, to znamená ověřit si ještě dnes, že jejich poskytovatel má dokumentovanou a ověřitelnou plán souladu eIDAS 2.0.

Právní rámec aplikovaný na povinnosti poskytovatelů elektronického podpisu

Normativní řetězec použitelný na poskytovatele elektronického podpisu operující ve Francii se artikuluje na několika doplňujících se hierarchických úrovních.

Francouzský občanský zákoník — články 1366 a 1367

Článek 1366 občanského zákoníku uznává elektronický spis jako důkazní prostředek rovnocenný papírovému spisu, za podmínky, že „lze řádně identifikovat osobu, od níž pochází, a je vytvořen a uchovávám způsobem zaručujícím jeho integritu". Článek 1367 upřesňuje, že elektronický podpis „spočívá v používání spolehlivého postupu identifikace zaručujícího jeho spojení s dokumentem, ke kterému se vztahuje". Presumpce spolehlivosti má prospěch kvalifikovaných podpisů ve smyslu eIDAS, což obrací důkazní břemeno ve prospěch podepisujícího.

Nařízení eIDAS č. 910/2014/EU

Toto nařízení, přímo použitelné ve všech členských státech, stanovuje právní rámec služeb důvěry. Jeho článek 26 definuje podmínky pokročilého elektronického podpisu; jeho článek 28 požadavky na kvalifikované certifikáty; jeho Příloha I podrobuje obsah povinný těmito certifikáty. Kvalifikovaní PSCo mají prospěch z presumpce souladu s technickými a právními požadavky nařízení (článek 19§2), což představuje významnou výhodu v případě sporu.

Nařízení eIDAS 2.0 — (EU) 2024/1183

Publikované 30. dubna 2024, toto změnovací nařízení zavádí nové kategorie služeb důvěry (kvalifikovaná osvědčení atributů, kvalifikované archivační služby) a posiluje povinnosti dohledu. Zrušuje a částečně nahrazuje nařízení 910/2014, s postupnou použitelností podle prováděcích aktů Evropské komise.

GDPR — Nařízení (EU) 2016/679

GDPR se aplikuje na jakékoli zpracování osobních údajů realizované v rámci služby elektronického podpisu. Články 5 (zásady zákonnosti), 6 (právní základ), 9 (citlivé údaje), 13-14 (informace), 28 (zpracovatelství), 32 (bezpečnost), 33-34 (oznamování porušení), 35 (AIPD) a 37 (pověřenec) představují nejčastěji aplikovatelná ustanovení. CNIL je příslušným dohledujícím orgánem v Evropské unii a může uložit pokuty až 20 milionů eur nebo 4 % celosvětových ročních tržeb (článek 83§5 GDPR).

Směrnice NIS2 — (EU) 2022/2555

Implementovaná do francouzského práva zákonem č. 2023-703 ze 1. srpna 2023, NIS2 řadí významné PSCo mezi důležité či podstatné subjekty podléhající povinnostem řízení kybernetických rizik a oznamování incidentů ANSSI do 24 hodin (včasné varování) a pak 72 hodin (úplné oznámení).

Normy ETSI

Celý soubor norem EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 a TS 119 431 představuje povinný technický odkaz pro audit kvalifikace. Jejich nedodržení vede k nemožnosti získat nebo udržovat kvalifikovaný status.

Právní rizika v případě nesouladu

Nevyhovující poskytovatel si vystavuje riziko: vyřazení ze francouzského seznamu TSL, odpovědnost za porušení smlouvy a mimo ni, administrativa sankce CNIL, pokuty NIS2 které mohou dosáhnout 10 milionů eur nebo 2 % celosvětových tržeb pro důležité subjekty a 20 milionů či 4 % celosvětových tržeb pro podstatné subjekty, stejně jako právní řízení klientů, kteří utrpěli škodu vlivem právně neplatných podpisů.

Scénáře používání: jak podniky ověřují soulad svého PSCo

Scénář 1 — Průmyslová skupina spravující 3 000 smluvních dokumentů dodavatelů ročně

Průmyslová skupina střední velikosti (ETI), činná ve výrobě mechanických zařízení, demateriálizuje všechny své smlouvy se dodavateli prostřednictvím SaaS platformy elektronického podpisu. Během interního auditu iniciovaného vlivem právní změny zjistí právní oddělení, že vybraný poskytovatel — původně zvolen na základě ceny — není uveden v TSL Francie ani v žádném TSL Evropy. Vydávané podpisy jsou typu „jednoduchý" bez robustního mechanismu identifikace podepisujícího.

Vzhledem k právnímu riziku — celý obsah podepsaných smluv by mohl mít svou právní hodnotu zpochybněnu v případě sporu — společnost iniciuje migraci k kvalifikovanému PSCo ANSSI. Nové řešení zahrnuje pokročilý podpis s kvalifikovaným certifikátem, kvalifikované časové razítko a exportovatelný audit trail. Projekt migrace, realizovaný za méně než 8 týdnů, umožňuje zpětně zabezpečit nové dokumenty a zavést vyhovující dokumentační politiku. Právníci odhadují, že riziko sporu související se starými dokumenty zůstává marginální kvůli jejich provedení bez pochybnosti, ale všechny nové podpisy jsou nyní chráněny.

Pozorované přínosy: snížení o 60 % možných sporů souvisejících s autentičností podpisů, a zisk 3,5 dne průměrné úspory času na podpis u složitých smluv díky automatizaci pracovního toku ověřování.

Scénář 2 — Právní kancelář 25 právních asistentů specializovaná na obchodní právo

Právní kancelář usilující o digitalizaci podpisu mandátů, konzultací a soudních aktů hodnotí několik poskytovatelů. Její evaluační rámec obsahuje následující kritéria: přítomnost v TSL, zveřejnění dostupné PC/DPC, existenci GDPR-vyhovujícího DPA, dostupnost kontaktního pověřence a certifikace QSCD na dálku.

Z pěti vyhodnocených poskytovatelů pouze dva splňují všechna kritéria. Kancelář nakonec zvolí PSCo nabízející nativně kvalifikovaný podpis přes QSCD na dálku, zaručující presumpci spolehlivosti podle článku 1367 francouzského občanského kodexu. Zavedení trvá 3 týdny, včetně školení. Výsledek: 75 % mandátů je nyní podepsáno za méně než 24 hodin oproti 5 až 7 dnům dříve (poštovní odeslání), a kancelář může klientům zdůvodnit úroveň právní bezpečnosti nabízenou řešením — rozlišovací argument v jeho obchodních nabídkách.

Scénář 3 — Zdravotnická skupina přibližně 1 200 lůžek

Zdravotnická skupina veřejné služby usiluje o demateriálizaci pracovních smluv, dohod o praxi a partnerských dohod s partnerskými zdravotnickými zařízeními. Citlivost zpracovávaných údajů (zdravotní údaje zdravotnických personálu, HR údaje) vyžaduje zvláštní pozornost na povinnosti GDPR poskytovatele.

IT oddělení a pověřenec skupiny vyžadují: hostování údajů ve Francii u certifikovaného poskytovatele zdravotnických údajů HDS (Hébergeur de Données de Santé, certifikace předvídaná článkem L.1111-8 kódexu veřejného zdraví), žádné přenosy mimo EHP, dokumentovanou AIPD pro zpracování identifikace podepisujících, a podepsaný DPA před jakýmkoliv zavedením do produkce.

Po výběru PSCo splňujícího tato kritéria zahrnuje zavedení prioritně HR smlouvy (přibližně 800 aktů ročně). Průměrná doba podpisu smluv na dobu určitou klesá z 9 dnů na méně než 48 hodin, čímž se uvolňuje významná kapacita týmům lidských zdrojů. Zdravotnické zařízení má navíc úplné sledování shromážděných souhlasů, ročně auditované svým pověřencem.

Závěr

Právní povinnosti, které leží na poskytovatelích elektronického podpisu ve Francii, tvoří náročný normativní corpus: kvalifikace eIDAS, soulad GDPR, soulad s normami ETSI, povinnosti NIS2 a nezbytná přizpůsobení eIDAS 2.0. Pro používající podniky je zajištění souladu svého PSCo nikoli volitelná cesta — je to podmínka sine qua non právní hodnoty podepsaných dokumentů a ochrany osobních údajů podepisujících.

Certyneo je poskytovatel elektronického podpisu vyvinutý tak, aby splňoval všechny tyto požadavky: soulad eIDAS, GDPR podle principu design, suverénní hostování a dokumentované plány eIDAS 2.0. Jste připraveni zabezpečit vaše podpisy v úplném souladu? Obraťte se na nás a užijte si personalizované doprovázení od prvního dne.