Povinnosti poskytovatele služby elektronického podpisu ve Francii

Úvod

Nasazení řešení elektronického podpisu ve Francii není věc improvizace. Za každým kvalifikovaným nebo pokročilým podpisem se skrývá desítky právních povinností, které se týkají poskytovatele důvěryhodné služby (PSCo). Nařízení eIDAS, GDPR, obecný rámec bezpečnosti, normy ETSI… právní rámec je jak hustý, tak i vyvíjející se. Pro subjekty používající tyto služby je pochopení těchto právních povinností poskytovatele služby elektronického podpisu ve Francii eIDAS GDPR nezbytné, aby si vybraly souladu odpovídajícího partnera a předešly všem právním rizikům. Tento článek podrobně rozebírá, sekci po sekci, všechny požadavky vztahující se na PSCo operující na francouzském území.

---

Postavení kvalifikovaného poskytovatele důvěryhodné služby

Co je PSCo podle eIDAS?

Nařízení eIDAS č. 910/2014 rozlišuje dvě kategorie poskytovatelů: poskytovatele důvěryhodné služby nekvalifikované a poskytovatele kvalifikované (PSCQ). První mohou nabízet služby jednoduchého nebo pokročilého elektronického podpisu bez povinného třetího auditu. Druzí — jedinou skupinou oprávněnou poskytovat kvalifikované podpisy ve smyslu článku 3(15) eIDAS — musí splnit výrazně přísnější požadavky.

Ve Francii plní funkci orgánu dohledu (dle článku 17 eIDAS) Národní agentura bezpečnosti informačních systémů (ANSSI). Publikuje a udržuje seznam důvěry francouzský (TSL — Trust Service List), přístupný na svém oficiálním webu, který uvádí kvalifikované poskytovatele a jejich služby.

Postup kvalifikace: audit a soulad

Aby mohl PSCo získat kvalifikovaný status, musí povinně:

• Nechat si své služby auditovat orgánem pro posuzování shody (CAB — Conformity Assessment Body) akreditovaným COFRACem podle normy EN ISO/IEC 17065.

• Podat zprávu z auditu ANSSI, která rozhoduje o udělení kvalifikovaného statusu. Tento status se přehodnocuje minimálně každých 24 měsíců (článek 20 §1 eIDAS).

• Oznámit ANSSI jakoukoliv podstatnou změnu svých služeb nejméně 3 měsíce před plánovanou změnou (článek 21 eIDAS).

Nedodržení těchto kroků vystavuje poskytovatele vyřazení ze seznamu TSL a ztrátě právních presumpci spojených s kvalifikovaným podpisem. Pro klientské společnosti znamená užití PSCo, který není uveden na TSL seznamu, že se nemohou spolehnout na žádnou právní presumpci spolehlivosti.

> Chcete-li se dozvědět více o různých úrovních podpisu a jejich právních účincích, prostudujte si naš komplexní průvodce nařízením eIDAS 2.0.

---

Technické a bezpečnostní povinnosti vůči PSCo

Soulad s normami ETSI

Kvalifikovaní poskytovatelé musí být v souladu se sadou evropských norem zveřejněných Evropským institutem telekomunikačních norem (ETSI). Mezi hlavní patří:

• ETSI EN 319 401: obecné bezpečnostní požadavky vztahující se na všechny PSCo.

• ETSI EN 319 411-1 a 411-2: zásady a postupy certifikačních autorit vydávajících certifikáty kvalifikovaného podpisu.

• ETSI EN 319 132: formáty pokročilého elektronického podpisu (XAdES pro XML, PAdES pro PDF, CAdES pro CMS).

• ETSI EN 319 122: formát CAdES pro kvalifikované podpisy.

• ETSI TS 119 431: požadavky pro služby tvorby podpisu na dálku (vzdálený QSCD).

Tyto normy nejsou volitelné: nařízení eIDAS (Přílohy II, III a IV) na ně výslovně odkazuje, aby definovalo minimální požadavky na kvalifikované certifikáty a zařízení pro tvorbu podpisu.

Správa kvalifikovaných zařízení pro tvorbu podpisu (QSCD)

Jedním z pilířů kvalifikovaného podpisu je použití kvalifikovaného zařízení pro tvorbu podpisu (QSCD — Qualified Signature Creation Device) v souladu s Přílohou II eIDAS. Poskytovatel musí zajistit, aby:

• Soukromý klíč podepisujícího mohl být generován, ukládán nebo kopírován pouze v rámci QSCD.

• Generování klíče probíhalo výhradně v certifikovaném prostředí (certifikace Common Criteria EAL 4+ nebo ekvivalent).

• Ověření podepisujícího před podpisem bylo založeno na nejméně dvou faktorech ověření.

V kontextu podpisu na dálku — čím dál více rozšířeného v prostředích SaaS — se tyto požadavky vztahují na server HSM (Hardware Security Module) hostující klíče. ANSSI zveřejnila specifické profily ochrany (PP-0075, PP-0076) definující bezpečnostní kritéria, která je třeba splnit.

Politika kontinuity a oznamování incidentů

Článek 19 eIDAS ukládá každému poskytovateli důvěryhodné služby (kvalifikovanému nebo nekvalifikovanému):

• Oznámit orgán dohledu (ANSSI) a případně orgán na ochranu dat (CNIL) do 24 hodin od zjištění porušení bezpečnosti, které by mohlo ovlivnit spolehlivost služby.

• Vést zdokumentovaný a pravidelně testovaný plán kontinuity podnikání.

• Mít formalizovanou zásadu bezpečnosti informací, pokrývající zejména řízení rizik, řízení incidentů a zásadu zálohování.

Tyto požadavky se částečně překrývají s požadavky směrnice NIS2 (2022/2555/EU), kterou do francouzského práva transponoval zákon č. 2023-703 ze 1. srpna 2023, který zařazuje PSCo významné velikosti mezi důležité subjekty nebo podstatné subjekty podrobené zesíleným povinnostem v oblasti kybernetické bezpečnosti.

> Zjistěte, jak elektronický podpis pro právnické kanceláře musí integrovat tato omezení do svých dokumentárních procesů.

---

Povinnosti specifické pro GDPR vůči PSCo

Je PSCo správcem údajů nebo zpracovatelem?

Kvalifikace GDPR poskytovatele závisí na povaze poskytnuté služby:

• Když PSCo přímo vydává kvalifikované certifikáty jménem podepisujícího a určuje účely zpracování osobních údajů (identita, biometrické údaje ověření), jedná se o správce údajů ve smyslu článku 4(7) GDPR.

• Když integruje své API do platformy klienta B2B a zpracovává osobní údaje pouze podle pokynů klienta, nabývá kvalitu zpracovatele údajů (článek 4(8) GDPR) a musí povinně uzavřít DPA (Data Processing Agreement) v souladu s článkem 28 GDPR.

V praxi většina SaaS PSCo kombinuje obě kvality: správce pro řízení své vlastní certifikační infrastruktury, zpracovatel pro zpracování dokumentů a metadat podepisujících.

Specifické povinnosti týkající se biometrických a identifikačních údajů

Identifikace a ověření podepisujícího — krok povinný pro vydání kvalifikovaného certifikátu — často zahrnuje zpracování citlivých dat: naskenování průkazu totožnosti, video selfie, biometrické údaje rozpoznání obličeje. Tyto údaje představují osobní údaje podléhající GDPR, případně biometrické údaje spadající pod článek 9 GDPR (speciální kategorie).

Povinnosti PSCo zahrnují:

• Právní základ: explicitní souhlas (článek 9§2a) nebo v některých případech právní povinnost (článek 9§2b) pro zpracování biometrických údajů.

• Omezenou dobu uchovávání: podle pokynů CNIL by měly být identifikační údaje uchovávány jen nezbytný čas, obvykle v souladu s dobou platnosti certifikátu + právní doba důkazu (často 10 let pro soukromé listiny, článek 2224 Francouzského občanského zákoníku).

• Posouzení vlivu (AIPD) povinné (článek 35 GDPR), jakmile je zpracování pravděpodobně spojeno s vysokým rizikem — což je systematicky případ biometrie.

• Evidence zpracování (článek 30 GDPR) vedená v aktuálním stavu a dokumentující jednotlivé kategorie zpracování.

Mezinárodní přenosy údajů

Mnozí PSCo mají veškerou nebo část své infrastruktury hostovanou mimo Evropský hospodářský prostor (EHP). V takovém případě se odpovídající záruky vyžadované kapitolou V GDPR uplatňují: rozhodnutí o přiměřenosti, smluvní doložky Evropské komise (SCCs) nebo závazná korporátní pravidla (BCR). Rozsudek Schrems II (SOUDNÍ DVŮR, C-311/18, 16. července 2020) upozornil, že přenosy do Spojených států vyžadují předchozí analýzu rizika v zemi.

> Chcete-li pochopit dopad těchto pravidel na vaši organizaci, prostudujte si náš průvodce elektronickým podpisem v podniku.

---

Povinnosti průhlednosti a informování uživatelů

Certifikační zásada (PC) a prohlášení o certifikační praxi (DPC)

Každý PSCo vydávající certifikáty je povinen publikovat Certifikační zásadu (PC) a Prohlášení o certifikační praxi (DPC) v souladu s normou ETSI EN 319 411. Tyto veřejně dostupné dokumenty obsahují podrobnosti:

• Postupy identifikace a registrace podepisujících.

• Opatření fyzické a logické bezpečnosti nasazená.

• Podmínky odvolání certifikátů a související lhůty.

• Odpovědnosti a omezení záruk PSCo.

Absence nebo neúplnost těchto dokumentů představuje nesoulad, který může být zjištěn během auditu opětovné kvalifikace akreditovanou agenturou.

Informace před uzavřením smlouvy a smluvní informace klientům

Nad rámec čistě technických povinností článek 13 GDPR ukládá PSCo poskytnout každé osobě, jejíchž údaje jsou shromažďovány, jasné a přístupné informace o:

• Identitě správce údajů a kontaktech na pracovníka pro ochranu údajů (povinný pro PSCo zpracovávající ve velkém rozsahu citlivé údaje, článek 37 GDPR).

• Účelech a právních základech jednotlivého zpracování.

• Právech osob (přístup, oprava, smazání, přenositelnost, námitka).

• Případných příjemcích údajů (zpracovatelích, úřadech).

Tyto informace musí být obsaženy v zásadě ochrany osobních údajů služby, v Obecných podmínkách a případně v DPA uzavřené s klienty.

Kvalifikovaná časová razítka a audit trail

Aby byla zajištěna právní hodnota podpisů na dlouhodobý horizont, seriózní PSCo systematicky přidružují kvalifikované elektronické časové razítko (článek 42 eIDAS) ke každému podepisovanému aktu. Toto časové razítko představuje právně presumovaný důkaz existence dat k uvedenému datu. Uchovávání audit trail (protokoly identifikace, otisk dokumentu, data podpisu) je faktickou povinností umožňující jakékoliv pozdější právní ověření.

> Porovnejte řešení na trhu podle těchto kritérií v našem srovnání řešení elektronického podpisu.

---

eIDAS 2.0: nové povinnosti v horizontu 2026-2027

Nařízení eIDAS 2.0 (EU) 2024/1183

Publikované v Úředním věstníku EU dne 30. dubna 2024, nařízení (EU) 2024/1183 zvané „eIDAS 2.0" výrazně posiluje povinnosti PSCo kolem tří os:

• Evropská peněženka digitální identity (EUDI Wallet): státy členské musí poskytnout certifikovanou peněženku digitální identity do 2. listopadu 2026. PSCo budou muset integrovat svou službu s touto peněženkou, aby poskytly kvalifikované podpisy prostřednictvím identity eIDAS 2.0.

• Správa osvědčení atributů: eIDAS 2.0 zavádí kvalifikovaná osvědčení atributů (QEAAs), vydávaná kvalifikovanými poskytovateli osvědčení. Budou se vztahovat nové postupy auditu a kvalifikace.

• Zesílení dohledu: národní orgány dohledu (ANSSI pro Francii) vidí své kompetence rozšířené, zejména schopnost provádět neohlášené audity a uplatňovat povinná nápravná opatření v kratších lhůtách.

Praktické důsledky pro stávající poskytovatele

PSCo již kvalifikovaní pod eIDAS 1.0 budou muset projít postupným slaďováním před stanovenými lhůtami specifikovanými v prováděcích aktech Komise (publikovaných nebo v přípravě). Hlavní změny se týkají:

• Přepracování infrastruktury identifikace pro podporu EUDI Wallet jako prostředku ověření.

• Aktualizace PC/DPC pro integraci nových typů certifikátů a osvědčení.

• Posílení bezpečnostních požadavků na vzdálené QSCD s novými profily ochrany, které přijdou.

Pro klientské společnosti to znamená ověřit si již dnes, zda má jejich poskytovatel zdokumentovanou a ověřitelnou roadmapu souladu eIDAS 2.0.

Právní rámec vztahující se na povinnosti poskytovatelů elektronického podpisu

Normativní řetězec vztahující se na poskytovatele elektronického podpisu operující ve Francii se člení do několika hierarchicky vzájemně doplňujících se úrovní.

Francouzský občanský zákoník — Články 1366 a 1367

Článek 1366 Francouzského občanského zákoníku uznává elektronický zápis jako důkazní prostředek ekvivalentní papírovému zápisu za podmínky, že „lze řádně identifikovat osobu, od níž pochází, a byl vytvořen a veden takový způsobem, který zaručuje jeho integritu". Článek 1367 upřesňuje, že elektronický podpis „spočívá v použití spolehlivého postupu identifikace garantujícího jeho spojení s aktem, ke kterému se připojuje". Presumpce spolehlivosti přináleží kvalifikovaným podpisům ve smyslu eIDAS, obrací důkazní břemeno ve prospěch podepisujícího.

Nařízení eIDAS č. 910/2014/EU

Toto nařízení, přímo použitelné ve všech státech členských, stanoví právní rámec služeb důvěry. Jeho článek 26 definuje podmínky pokročilého elektronického podpisu; jeho článek 28 požadavky na kvalifikované certifikáty; jeho Příloha I podrobně popisuje povinný obsah těchto certifikátů. Kvalifikovaní PSCo mají prospěch z presumpce souladu s technickými a právními požadavky nařízení (článek 19§2), což představuje hlavní výhodu v případě sporu.

Nařízení eIDAS 2.0 — (EU) 2024/1183

Publikované dne 30. dubna 2024, toto změnové nařízení zavádí nové kategorie služeb důvěry (kvalifikovaná osvědčení atributů, kvalifikované služby archivace) a posiluje povinnosti dohledu. Ruší a částečně nahrazuje nařízení 910/2014 s postupnou použitelností podle prováděcích aktů Evropské komise.

GDPR — Nařízení (EU) 2016/679

GDPR se vztahuje na každé zpracování osobních údajů realizované v rámci služby elektronického podpisu. Články 5 (zásady zákonnosti), 6 (právní základ), 9 (citlivé údaje), 13-14 (informování), 28 (zpracování), 32 (bezpečnost), 33-34 (oznamování porušení), 35 (AIPD) a 37 (DPO) představují nejčastěji použitelná ustanovení. CNIL je příslušným orgánem dohledu ve Francii a může ukládat pokuty až 20 milionů eur nebo 4 % ročního celosvětového tržního obratu (článek 83§5 GDPR).

Směrnice NIS2 — (EU) 2022/2555

Transpozice do francouzského práva zákonem č. 2023-703 ze 1. srpna 2023, NIS2 zařazuje PSCo významné velikosti mezi důležité nebo podstatné subjekty podléhající povinnostem řízení kybernetických rizik a oznamování incidentů ANSSI do 24 hodin (včasné varování), poté 72 hodin (úplné oznámení).

Normy ETSI

Všechny normy EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 a TS 119 431 tvoří povinný technický referenční rámec pro audit kvalifikace. Jejich nedodržení znamená nemožnost získat nebo udržet kvalifikovaný status.

Právní rizika v případě neshody

Nesoulad odpovídajícího poskytovatele vyvíjí: vyřazení ze seznamu TSL, jeho smluvní a mimosmluvní odpovědnost, správní sankce CNIL, pokuty NIS2 dosahující až 10 milionů eur nebo 2 % celosvětového obratu pro důležité subjekty a 20 milionů nebo 4 % celosvětového obratu pro podstatné subjekty, stejně jako právní žaloby klientů, kterým vznikl škoda v důsledku neplatných podpisů.

Scénáře využití: jak podniky ověřují soulad svého PSCo

Scénář 1 — Průmyslová skupina spravující 3 000 dodavatelských smluv ročně

Průmyslová skupina střední velikosti (ETI), aktivní ve výrobě mechanických zařízení, digitalizuje všechny svoje dodavatelské smlouvy prostřednictvím SaaS platformy elektronického podpisu. Během interního auditu spuštěného po právní změně právní oddělení zjistí, že vybraný poskytovatel — původně vybraný na základě ceny — není uveden ani na francouzském TSL seznamu, ani na žádném TSL seznamu v EU. Vydáné podpisy jsou typu „jednoduché" bez robustního mechanismu identifikace podepisujícího.

Vzhledem k právnímu riziku — hodnota důkazní všech podepsaných smluv by mohla být v případě sporu sporná — podnik iniciuje migraci ke kvalifikovanému PSCo ANSSI. Nové řešení zahrnuje pokročilý podpis s kvalifikovaným certifikátem, kvalifikované časové razítko a exportovatelný audit trail. Migrační projekt, realizovaný během osmi týdnů, umožňuje bezpečit nové podpisy i zpětně a zavést souladu odpovídající dokumentární politiku. Právní týmy odhadují, že riziko sporu týkající se starších smluv zůstává marginální vzhledem k jejich bez-sporu plnění, ale veškeré nové podpisy jsou nyní kryta.

Pozorované zisky: snížení o 60 % potenciálních sporů souvisejících s autentičností podpisů a úspora 3,5 dní průměrného času podepisování u složitých smluv díky automatizaci workflow validace.

Scénář 2 — Právnická kancelář se 25 zaměstnanci specializující se na právo obchodní

Právnická kancelář, která si přeje digitalizovat podpis mandátů, konzultací a procesních aktů, hodnotí několik poskytovatelů. Její evaluační seznam obsahuje následující kritéria: přítomnost na TSL, publikace přístupné PC/DPC, existence souladu odpovídajícího DPA GDPR, dostupnost kontaktního DPO a certifikace vzdálených QSCD.

Z pěti hodnocených poskytovatelů pouze dva splňují všechna kritéria. Kancelář si nakonec vybere PSCo nabízející nativně kvalifikovaný podpis přes vzdálený QSCD, garantující presumpci spolehlivosti článku 1367 Francouzského občanského zákoníku. Zavedení trvá 3 týdny včetně školení. Výsledek: 75 % mandátů je nyní podepsáno během méně než 24 hodin oproti 5 až 7 dům dříve (poštovní odeslání), a kancelář může svým klientům zdůvodnit úroveň právní bezpečnosti nabízené řešením — rozlišující argument v jejích obchodních návrzích.

Scénář 3 — Nemocniční sdružení s přibližně 1 200 lůžky

Nemocniční sdružení veřejné správy si přeje digitalizovat pracovní smlouvy, stážistické dohody a partnerské smlouvy s partnerskými zdravotnickými zařízeními. Citlivost zpracovávaných údajů (údaje o zdravotnictví zdravotnických pracovníků, personální data) vyžaduje zvýšenou pozornost ohledně povinností GDPR PSCo.

IT oddělení a DPO zařízení vyžadují: hostování údajů ve Francii u poskytovatele zdravotnických dat s certifikátem HDS (poskytovatel zdravotnických dat, certifikace předpokládaná článkem L.1111-8 Francouzského zákona o zdravotnictví), absence přenosu mimo EHP, dokumentované AIPD pro zpracování identifikace podepisujících a DPA podepsaný před jakýmkoliv spuštěním.

Po výběru PSCo vyhovujícího těmto kritériím je nasazení prioritně zaměřeno na personální smlouvy (přibližně 800 aktů ročně). Průměrná doba podpisování smluv na dobu určitou se zkracuje z 9 dní na méně než 48 hodin, čímž se uvolňuje značná kapacita týmům personálního oddělení. Zařízení má navíc úplnou sledovatelnost shromážděných souhlasů, auditovaných ročně svým DPO.

Závěr

Právní povinnosti vůči poskytovatelům elektronického podpisu ve Francii tvoří náročný normativní soubor: kvalifikace eIDAS, soulad GDPR, dodržování norem ETSI, povinnosti NIS2 a blížící se přizpůsobení eIDAS 2.0. Pro používající podniky zajistit soulad svého PSCo není volitelnou činností — je to podmínkou sine qua non právní hodnoty podepsaných aktů a ochrany osobních údajů podepisujících.

Certyneo je poskytovatel služby elektronického podpisu navržený tak, aby splňoval všechny tyto požadavky: soulad eIDAS, GDPR by design, suverénní hosting a dokumentovaná roadmapa eIDAS 2.0. Jste připraveni zabezpečit své podpisy v úplném souladu? Požádejte o ukázku nebo si vytvořte účet na Certyneo a od prvního dne si užijte personalizované doprovázení.