Gå til hovedindhold
Certyneo

Forpligtelser for elektronisk signaturudbyder i Frankrig

eIDAS-kvalifikation, RGPD-overensstemmelse, ANSSI-krav: udbydere af elektroniske signaturtjenester står over for en krævende juridisk ramme. Opdag alle de forpligtelser, der skal overholdes.

13 min. læsning

Certyneo-team

Forfatter — Certyneo · Om Certyneo

white printer paper close-up photography

Introduktion

Det er ikke uden videre at implementere en elektronisk signaturløsning i Frankrig. Bag hver kvalificeret eller avanceret signatur gemmer sig dusinvis af juridiske forpligtelser, der påhviler leverandøren af tillids- og sikkerhedstjenester (PSCo). eIDAS-forordningen, RGPD, generel sikkerhedsreference, ETSI-standarder… det regulatoriske område er både omfattende og i konstant udvikling. For de virksomheder, der bruger sådanne tjenester, er det afgørende at forstå disse juridiske forpligtelser for elektronisk signaturudbyder i Frankrig eIDAS RGPD for at vælge en kompatibel partner og undgå juridiske risici. Denne artikel gennemgår punkt for punkt alle de krav, der gælder for PSCo'er, der opererer på fransk område.

---

Status som kvalificeret leverandør af tillids- og sikkerhedstjenester

Hvad er en PSCo i henhold til eIDAS?

Forordningen eIDAS nr. 910/2014 skelner mellem to kategorier af tjenesteudbydere: ikke-kvalificerede tjenesteudbydere og kvalificerede tjenesteudbydere (PSCQ). De første kan tilbyde simple eller avancerede elektroniske signaturtjenester uden obligatorisk tredjepartsrevision. De sidste — der alene er autoriseret til at levere kvalificerede signaturer i henhold til artikel 3(15) i eIDAS — skal opfylde betydeligt strengere krav.

I Frankrig er det Agence nationale de la sécurité des systèmes d'information (ANSSI), der udfylder rollen som tilsynsførende myndighed (« Supervisory Body »), som forudset i artikel 17 i eIDAS. Den udgiver og vedligeholder den franske tillids- og sikkerhedsliste (TSL — Trust Service List), som er tilgængelig på hjemmesiden og registrerer kvalificerede tjenesteudbydere og deres tjenester.

Kvalifikationsproceduren: revision og overensstemmelse

For at opnå kvalificeret status skal en PSCo obligatorisk:

  • Få sine tjenester revideret af et akkrediteret konformitetsvurderingsorgan (CAB — Conformity Assessment Body) af COFRAC i henhold til standarden EN ISO/IEC 17065.
  • Indsende revisionsrapporten til ANSSI, som afgør om den kvalificerede status skal tildeles. Denne status revurderes mindst hvert 24. måned (artikel 20 §1 eIDAS).
  • Notificere ANSSI om væsentlige ændringer i sine tjenester senest 3 måneder før den planlagte ændring (artikel 21 eIDAS).

Hvis disse trin ikke overholdes, risikerer tjenesteudbydere at blive fjernet fra TSL'en og mister de juridiske formodninger, der er forbundet med kvalificeret signatur. For virksomhedskunder betyder det at bruge en PSCo, der ikke er optaget på TSL'en, at man ikke får nogen juridisk formodning om pålidelighed.

> For at gå dybere ind i de forskellige niveauer af signatur og deres juridiske virkning, konsulteres vores artikel.

---

Tekniske og sikkerhedsmæssige forpligtelser for PSCo'er

Overholdelse af ETSI-standarder

Kvalificerede tjenesteudbydere skal overholde en række europæiske standarder udgivet af European Telecommunications Standards Institute (ETSI). De vigtigste er:

  • ETSI EN 319 401: generelle sikkerhedskrav, der gælder for alle PSCo'er.
  • ETSI EN 319 411-1 og 411-2: politikker og praksis for certificeringsmyndigheder, der udsteder certifikater til kvalificeret signatur.
  • ETSI EN 319 132: formater for avanceret elektronisk signatur (XAdES til XML, PAdES til PDF, CAdES til CMS).
  • ETSI EN 319 122: CAdES-format til kvalificerede signaturer.
  • ETSI TS 119 431: krav til tjenester til fjern-signaturskabelse (QSCD fjern).

Disse standarder er ikke valgfrie: eIDAS-forordningen (Bilag II, III og IV) henviser eksplicit til dem for at definere minimumskravene for kvalificerede certifikater og signaturskabelsesenhed.

Forvaltning af sikret signaturskabelsesenhed (QSCD)

En af søjlerne i kvalificeret signatur er brugen af en sikret signaturskabelsesenhed (QSCD — Qualified Signature Creation Device), der er i overensstemmelse med Bilag II i eIDAS. Tjenesteudbydere må sikre, at:

  • Den underskrivende parts private nøgle kan ikke genereres, lagres eller kopieres uden for QSCD'en.
  • Nøgleskabelsen sker eksklusivt i et certificeret miljø (Common Criteria EAL 4+ certificering eller tilsvarende).
  • Autentificering af den underskrivende før enhver signaturhandling er baseret på mindst to autentificeringsmetoder.

I en fjern-signaturauthentificering — som er stadigt mere udbredt i SaaS-miljøer — gælder disse krav for HSM-serveren (Hardware Security Module), der hoster nøglerne. ANSSI har udgivet specifikke beskyttelsesprofiler (PP-0075, PP-0076), der definerer de sikkerhedskriterier, der skal opnås.

Politik for forretningskontinuitet og hændelsesmeddelelse

Artikel 19 i eIDAS påtvinger enhver leverandør af tillids- og sikkerhedstjenester (kvalificeret eller ej) at:

  • Notificere tilsynsmyndigheden (ANSSI) og eventuelt databeskyttelsesmyndigheden (CNIL) inden for 24 timer efter at have opdaget en sikkerhedsbrud, der kan påvirke tjenestens pålidelighed.
  • Vedligehould en dokumenteret og regelmæssigt testet plan for forretningskontinuitet.
  • Have en formaliseret informationssikkerhedspolitik, der dækker blandt andet risikostyring, incidenthåndtering og backuppolitik.

Disse krav overlapper delvist med kravene i NIS2-direktivet (2022/2555/EU), som blev vedtaget i fransk lovgivning ved lov nr. 2023-703 fra 1. august 2023, som klassificerer væsentlige PSCo'er blandt vigtige eller kritiske enheder med øgede cybersikkerhedskrav.

> Se hvordan din virksomhed skal integrere disse begrænsninger i deres dokumentariske workflow.

---

RGPD-specifikke forpligtelser for PSCo'er

Er PSCo dataansvarlig eller databehandler?

PSCo'ens klassificering under RGPD afhænger af arten af den leverede tjeneste:

  • Når PSCo direkte udsteder kvalificerede certifikater på vegne af den underskrivende og bestemmer formålene med behandlingen af personlige data (identitet, biometriske autentificeringsdata), handler den som dataansvarlig i henhold til artikel 4(7) RGPD.
  • Når den integrerer sit API på en B2B-kundes platform og behandler personlige data udelukkende efter denne kundes instruktioner, handler den som databehandler (artikel 4(8) RGPD) og skal obligatorisk indgå en DPA (Data Processing Agreement) i overensstemmelse med artikel 28 RGPD.

I praksis kombinerer de fleste SaaS PSCo'er begge roller: dataansvarlig for styringen af deres egen certificeringsinfrastruktur, databehandler for behandlingen af dokumenter og metadata fra den underskrivende.

Specifikke forpligtelser vedrørende biometriske data og identitetsdata

Identifikation og autentificering af den underskrivende — et obligatorisk trin for at udstede et kvalificeret certifikat — indebærer ofte behandlingen af følsomme data: ID-kort-scan, selfie-video, biometriske data fra ansigtsgenkendelses. Disse data udgør personlige data omfattet af RGPD, eller endda biometriske data omfattet af artikel 9 i RGPD (særlige kategorier).

PSCo'ens forpligtelser omfatter:

  • Retsgrundlag: eksplicit samtykke (artikel 9§2a) eller i visse tilfælde juridisk forpligtelse (artikel 9§2b) for behandling af biometriske data.
  • Begrænset opbevaringsvarighed: i henhold til CNIL's retningslinjer skal identifikationsdata opbevares kun så længe som strengt nødvendigt, normalt justeret efter certifikatets gyldighed + lovpligtig bevisvarighed (ofte 10 år for privatretlige dokumenter, artikel 2224 i Code civil).
  • Påkrævet konsekvensanalyse (AIPD) (artikel 35 RGPD), når behandlingen risikerer at medføre høj risiko — hvilket systematisk er tilfældet for biometri.
  • Behandlingsregister (artikel 30 RGPD), der holdes ajourført og dokumenterer enhver behandlingskategori.

Internationale dataoverførsler

Mange PSCo'er hoster hele eller dele af deres infrastruktur uden for Det Europæiske Økonomiske Område (EØS). I så fald gælder passende garantier krævet under kapitel V i RGPD: passende afgørelse, standardkontraktklausuler (SCCs) fra Europa-Kommissionen eller bindende interne regler (BCR). Afgørelsen Schrems II (CJEU, C-311/18, 16. juli 2020) mindede os om, at overførsler til USA kræver en forudgående landrisikanalyse.

> For at forstå virkningen af disse regler på din organisation skal du konsultere vores artikel.

---

Forpligtelser til åbenhed og informering af brugere

Certificeringspolitik (PC) og certificeringspraksis-erklæring (DPC)

Enhver PSCo, der udsteder certifikater, er forpligtet til at offentliggøre en Certificeringspolitik (PC) og en Certificeringspraksis-erklæring (DPC) i overensstemmelse med ETSI-standarden EN 319 411. Disse frit tilgængelige dokumenter beskriver blandt andet:

  • Procedurer for identifikation og registrering af den underskrivende.
  • Fysiske og logiske sikkerhedsforanstaltninger, der implementeres.
  • Betingelser for tilbagekaldelse af certifikater og tilhørende frister.
  • PSCo'ens ansvar og ansvarsbegrænsninger.

Fraværet eller ufuldstændig dokumentation af disse dokumenter udgør en manglende overensstemmelse, som kan påpegges under revisionen af rekvalificering af det akkrediterede organ.

Forudgående og kontraktlig information til kunder

Ud over rent tekniske forpligtelser pålægger artikel 13 i RGPD PSCo at give hver person, hvis data indsamles, klar og tilgængelig information om:

  • Identiteten på datansvarlig og kontaktoplysninger på databeskyttelsesombudsmanden (obligatorisk for PSCo'er, der behandler store mængder følsomme data i stor skala, artikel 37 RGPD).
  • Formål og retsgrundlag for hver behandling.
  • Personers rettigheder (adgang, berigtigelse, sletning, dataportabilitet, indsigelse).
  • Eventuelle modtagere af data (databehandlere, myndigheder).

Disse oplysninger skal fremgå af tjenestens privatlivspolitik, i betingelserne for tjenesten og eventuelt i DPA indgået med erhvervskunder.

Kvalificeret tidsstempel og revisionslog

For at sikre langsigtede bevisværdier for signaturer forbinder seriøse PSCo'er systematisk et kvalificeret elektronisk tidsstempel (artikel 42 eIDAS) til hver signeret akt. Dette tidsstempel udgør juridisk bevis for eksistensen af dataene på den angivne dato. Vedligeholdelse af revisionsloggen (identifikationslogs, dokumentfingeraftrykke, signaturdata) er en faktisk forpligtelse for at muliggøre enhver senere retlig kontrol.

> Sammenlign markedets løsninger efter disse kriterier i vores artikel.

---

eIDAS 2.0: nye forpligtelser på horisonten 2026-2027

Forordningen eIDAS 2.0 (EU) 2024/1183

Udgivet i EU-Tidende den 30. april 2024 styrker forordningen (EU) 2024/1183, kaldet « eIDAS 2.0 », betydeligt forpligtelserne for PSCo'er omkring tre områder:

  • Den europæiske digitale identitetspung (EUDI Wallet): medlemsstaterne skal stille en certificeret digital identitetspung til rådighed senest 2. november 2026. PSCo'er skal integrere deres tjeneste med denne pung for at tilbyde kvalificerede signaturer via eIDAS 2.0-identitet.
  • Forvaltning af attributattestationer: eIDAS 2.0 introducerer kvalificerede attributattestationer (QEAAs), udstedt af kvalificerede attestationsudbydere. Nye revisions- og kvalifikationsprocedurer vil blive anvendt.
  • Styrkelse af tilsyn: nationale tilsynsmyndigheder (ANSSI for Frankrig) får udvidede beføjelser, især mulighed for at igangsætte uvarslede revisioner og vedtage bindende korrettive foranstaltninger inden for forkortet frist.

Praktiske konsekvenser for nuværende udbydere

Psco'er, der allerede er kvalificeret under eIDAS 1.0, skal gradvist blive kompatible før de frister, der er fastsat af Kommissionens gennemførelsesretsakter (udgivet eller under udgivelse). De vigtigste tilpasninger vedrører:

  • Omstrukturering af identifikationsinfrastrukturen for at understøtte EUDI Wallet som autentificeringsmiddel.
  • Opdatering af PC/DPC for at integrere nye typer certifikater og attestationer.
  • Styrket sikkerhedskrav til fjern-QSCD'er med nye kommende beskyttelsesprofiler.

For virksomhedskunder betyder det at kontrollere allerede i dag, at deres tjenesteudbyder har en dokumenteret og verificerbar eIDAS 2.0-overensstemmelsesplan.

Juridisk ramme, der gælder for forpligtelser for udbydere af elektronisk signatur

Normkæden, der gælder for elektronisk signaturudbydere, der opererer i Frankrig, er struktureret på flere komplementære hierarkiske niveauer.

Code civil — Artikel 1366 og 1367

Artikel 1366 i Code civil anerkender elektronisk skrift som bevismetode svarende til papirskrift, forudsat at « kan personen, fra hvem den stammer, blive behørigt identificeret, og den er etableret og opbevaret under betingelser, der er egnet til at sikre dens integritet ». Artikel 1367 præciserer, at elektronisk signatur « består i brugen af en pålidelig identifikationsprocedure, der garanterer dens forbindelse til det dokument, som den vedrører ». Formodningen om pålidelighed fordeles til kvalificerede signaturer i henhold til eIDAS, hvilket vender bevisbyrden til fordel for den underskrivende.

Forordningen eIDAS nr. 910/2014/EU

Denne forordning, der gælder direkte i alle medlemsstater, fastslår den juridiske ramme for tillids- og sikkerhedstjenester. Artikel 26 definerer betingelserne for avanceret elektronisk signatur; artikel 28 kravene til kvalificerede certifikater; Bilag I detaljerer det obligatoriske indhold af disse certifikater. Kvalificerede PSCo'er nyder en formodning om overholdelse af forordningens tekniske og juridiske krav (artikel 19§2), hvilket udgør en væsentlig fordel i tilfælde af tvist.

Forordningen eIDAS 2.0 — (EU) 2024/1183

Udgivet den 30. april 2024 introducerer denne ændringsforordning nye kategorier af tillids- og sikkerhedstjenester (kvalificerede attributattestationer, kvalificerede arkiveringstjenester) og styrker tilsynskravene. Den ophæver og erstatter delvist forordningen 910/2014 med gradvis tilgængelighed efter Kommissionens gennemførelsesretsakter.

RGPD — Forordning (EU) 2016/679

RGPD gælder for enhver behandling af personlige data, der udføres som led i en elektronisk signaturtjeneste. Artikler 5 (principper om lovlighed), 6 (retsgrundlag), 9 (følsomme data), 13-14 (information), 28 (databehandling), 32 (sikkerhed), 33-34 (anmeldelse af overtrædelser), 35 (AIPD) og 37 (databeskyttelsesombudsmand) udgør de hyppigst tilgængelige bestemmelser. CNIL er den kompetente tilsynsmyndighed i Frankrig og kan pålægge bøder på op til 20 millioner euro eller 4 procent af det årlige verdensomspændende omsætning (artikel 83§5 RGPD).

Direktiv NIS2 — (EU) 2022/2555

Vedtaget i fransk lovgivning ved lov nr. 2023-703 fra 1. august 2023 klassificerer NIS2 vigtige PSCo'er blandt vigtige eller kritiske enheder omfattet af cybersikkerhedsstyringskrav og forpligtelse til at anmelde hændelser til ANSSI inden 24 timer (tidlig advarsel) og derefter 72 timer (fuldstændig meddelelse).

ETSI-standarder

Hele sættet af ETSI-standarder EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 og TS 119 431 udgør den obligatoriske tekniske reference for kvalifikationsrevision. Manglende overholdelse fører til umulighed af at opnå eller bevare kvalificeret status.

Juridiske risici i tilfælde af manglende overensstemmelse

En ikke-kompatibel udbyder risikerer: fjernelse fra den franske TSL, forpligtelse af sin kontraktlige og erstatningsretlige ansvar, administrative sanktioner fra CNIL, NIS2-bøder, der kan nå op til 10 millioner euro eller 2 procent af det årlige verdensomspændende omsætning for vigtige enheder og 20 millioner eller 4 procent for kritiske enheder, samt retskrav fra kunder, der har lidt skade på grund af juridisk ugyldige signaturer.

Brugningsscenarier: hvordan virksomheder kontrollerer deres PSCo's overensstemmelse

Scenarie 1 — En industriel gruppe, der administrerer 3.000 leverandørkontrakter pr. år

En mellemstor industriel gruppe (ETI), aktiv inden for fremstilling af mekanisk udstyr, dematerialiserer alle sine leverandørkontrakter via en SaaS-platform til elektronisk signatur. Under en intern revision, der blev iværksat efter en regulatorisk ændring, konstaterer juridisk afdeling, at den valgte udbyder — oprindeligt valgt på prisbasis — hverken er registreret på den franske TSL eller på nogen europæisk TSL. De leverede signaturer er af « simpel » type uden robust identifikationsmekanisme for den underskrivende.

Over for juridisk risiko — hele sæt af underskrevne kontrakter kan få deres bevisværdi anfægtet i tilfælde af tvist — migrerer virksomheden til en ANSSI-kvalificeret PSCo. Den nye løsning indeholder avanceret signatur med kvalificeret certifikat, kvalificeret tidsstempel og eksporterbar revisionslog. Migrerings-projektet, gennemført på mindre end 8 uger, sikrer retten til tidligere handlinger og etablerer en kompatibel politik. Juridiske enheder vurderer, at risikoen for tvist vedrørende gamle kontrakter forbliver marginal på grund af deres gennemførelse uden indsigelse, men enhver ny signatur er nu dækket.

Observerede gevinster: 60 % reduktion i potentielle tvister relateret til autenticiteten af signaturer og en gevinst på 3,5 dage gennemsnitlig signaturtid på komplekse kontrakter takket være automatisering af valideringsworkflow.

Scenarie 2 — Et advokatkontor med 25 samarbejdspartnere specialiseret i erhvervsret

Et advokatkontor ønsker at digitalisere signaturen af fuldmagter, konsultationer og sagsbehandlingsdokumenter og evaluerer flere udbydere. Evalueringsskemaet omfatter følgende kriterier: tilstedeværelse på TSL'en, offentliggørelse af en tilgængelig PC/DPC, eksistensen af en RGPD-kompatibel DPA, tilgængelighed af en kontaktbar databeskyttelsesombudsmand og certificering af fjern-QSCD'er.

Blandt fem evaluerede udbydere opfylder kun to alle kriterier. Kontoret vælger til sidst en PSCo, der tilbyder nativt kvalificeret signatur via fjern-QSCD, hvilket garanterer formodningen om pålidelighed i artikel 1367 i Code civil. Implementeringen tager 3 uger inklusive uddannelse. Resultat: 75 % af fuldmagterne er nu underskrevet på mindre end 24 timer mod 5 til 7 dage før (postalt), og kontoret kan retfærdiggøre over for sine kunder det juridisk sikkerhedsniveau, som løsningen tilbyder — et differentierende argument i sine kommercielle forslag.

Scenarie 3 — En hospitalgruppe på omkring 1.200 senge

En hospitalgruppe ønsker at digitalisere arbejdskontrakter, samarbejdsaftaler og partnerskabskonventioner med partnerhospitalser. Følsomheden af de behandlede data (helbredsdata for medicinsk personale, HR-data) påtvinger særlig opmærksomhed på PSCo'ens RGPD-forpligtelser.

IT-direktionen og institutionens databeskyttelsesombudsmand kræver: hosting af data i Frankrig hos en certificeret sundhedsdataleverandør (HDS — Hébergeur de Données de Santé), ingen overførsler uden for EØS, dokumenteret AIPD for behandling af signaturidentifikation og signeret DPA før al produktionsstart.

Efter valg af en PSCo, der opfylder disse kriterier, dækker udrulningen først og fremmest HR-kontrakter (omkring 800 akter pr. år). Den gennemsnitlige signaturtid for tidsbegrænsede kontrakter falder fra 9 dage til mindre end 48 timer, hvilket frigør betydelig kapacitet for HR-teamet. Institutionen har desuden fuldstændig sporbarhed over alt indsamlet samtykke, som årligt revideres af dens databeskyttelsesombudsmand.

Konklusion

De juridiske forpligtelser, der påhviler elektronisk signaturudbydere i Frankrig, danner et krævende normativt korpus: eIDAS-kvalifikation, RGPD-overensstemmelse, overholdelse af ETSI-standarder, NIS2-forpligtelser og forestående tilpasning til eIDAS 2.0. For de virksomheder, der bruger sådanne tjenester, at sikre PSCo'ens overensstemmelse er ikke valgfrit — det er en betingelse for bevisværdien af underskrevne akter og beskyttelse af de underskrivelsers personlige data.

Certyneo er en elektronisk signaturudbyder designet til at opfylde alle disse krav: eIDAS-kompatibilitet, RGPD by design, suveræn hosting og dokumenteret eIDAS 2.0-køreplan. Klar til at sikre dine signaturer i fuld overensstemmelse? Kontakt os og få personlig vejledning fra dag ét.

Prøv Certyneo gratis

Send din første signaturkuvert på under 5 minutter. 5 gratis kuverter om måneden, intet kreditkort nødvendigt.

Kom i gang gratisSe priser
Alle artikler

Gå dybere ned i emnet

Referencartikler om dette emne.

eIDAS-overholdelse for SMV'er: den komplette tjekliste for 2026Hvordan sikrer man, at en SMV overholder eIDAS-forordningen i 2026? 12-punkts tjekliste: signaturniveauer, tjenesteudbyder, arkivering, GDPR.Signature électronique RH & RGPD : guide complet 2026Mellem eIDAS, RGPD og styring af medarbejderdatas, elektronisk signering af dine HR-dokumenter følger strenge regler. Lær hvordan du forbliver compliant.Affiliate program: Lovlige rammer og kontrakter 2026Signatur elektronik sundhedssektor : GDPR & HDSSundhedssektoren er underlagt de strengeste krav til digitaliseret overholdelse af regler. Opdag, hvordan du implementerer en juridisk bindende elektronisk signatur, GDPR-kompatibel og HDS-certificeret til dine sundhedsinstitutioner.Medicinsk recept & elektronisk signatur 2026Digitalisering af medicinske ordrer accelererer i Frankrig. Opdag, hvordan elektronisk signatur sikrer dine recepter samtidig med at respektere eIDAS-rammen og DMP-kravene.

Gå dybere ned i emnet

Vores komprehensive guider til at mestre elektronisk underskrift.

Anbefalede artikler

Udvid din viden med disse relaterede artikler.

Fuldstændig lønhåndtering i virksomheden: Guide 2026

Lønhåndtering er en strategisk søjle i enhver virksomhed. Oplev de juridiske krav for 2026, bedste praksis og hvordan digitalisering transformerer denne proces.

9 min

Fuldstændig Lønhåndtering i Virksomheder: Guide 2026

Lønhåndtering er kernen i enhver virksomheds HR-forpligtelser. Opdag de bedste praksisser, juridiske krav for 2026 og hvordan digitalisering forenkler dine processer.

9 min

Komplet lønseddelstyring: Guide 2026

Lønseddelstyringen udvikler sig hurtigt med digitalisering og nye juridiske forpligtelser. Opdag alle nøglerne til fuldstændig overholdelse af lovgivningen i 2026.

9 min