Obligations prestataire signature électronique France

Introduktion

At implementere en løsning til elektronisk signatur i Frankrig er ikke noget, der improviseres. Bag hver kvalificeret eller avanceret signatur skjuler sig duetvis af juridiske forpligtelser, der påhviler leverandøren af tillidsbaserede tjenester (PSCo). eIDAS-forordningen, RGPD, generelle sikkerhedsreferencerammer, ETSI-standarder... det lovgivningsmæssige framework er både omfattende og udviklende. For brugervirksomheder er det uundværligt at forstå disse juridiske forpligtelser for prestataire de signature électronique France eIDAS RGPD for at vælge en kompatibel partner og undgå enhver juridisk risiko. Denne artikel detaljerer, afsnit for afsnit, alle de krav, der gælder for PSCo'er, der opererer på det franske territorium.

---

Statusen som kvalificeret tillidsbaseret tjenesteudbyders status

Hvad er en PSCo i henhold til eIDAS?

Forordning eIDAS nr. 910/2014 skelner mellem to kategorier af udbydere: ikke-kvalificerede tillidsbaserede tjenesteudbyders tjenester og kvalificerede udbydere (PSCQ). De første kan tilbyde elektroniske signaturers simple eller avancerede tjenester uden obligatorisk tredjepartsrevision. De andet — der kun er autoriseret til at levere kvalificerede signaturer i henhold til artikel 3(15) i eIDAS — skal opfylde betydeligt mere strenge krav.

I Frankrig er det Agence nationale de la sécurité des systèmes d'information (ANSSI) der opfylder rollen som kontrolmyndighed ("Supervisory Body"), som forudsagt i artikel 17 i eIDAS. Den udgiver og vedligeholder den franske tillideliste (TSL — Trust Service List), tilgængelig på sit officielle websted, som angiver kvalificerede udbydere og deres tjenester.

Kvalifikationsproceduren: revision og overholdelsesprøver

For at få status som kvalificeret må en PSCo obligatorisk:

• Få sine tjenester revideret af en akkrediteret kompatibilitetsvurderingsmyndighed (CAB — Conformity Assessment Body) ifølge standarden EN ISO/IEC 17065.

• Indsende revisionsrapporten til ANSSI, som afgør, hvorvidt der gives kvalificeret status. Denne status re-evalueres mindst hvert 24. måned (artikel 20 §1 eIDAS).

• Underrette ANSSI om væsentlige ændringer i sine tjenester inden for 3 måneder før den planlagte ændring (artikel 21 eIDAS).

Manglende overholdelse af disse trin udsætter tjenesteudbyderen for fjernelse fra TSL og tab af juridiske formodninger knyttet til kvalificeret signatur. For kundevirksomheder betyder det at anvende en PSCo, der ikke står på TSL-listen, at de ikke nyder godt af nogen juridisk formoding om pålidelighed.

> For at gå dybere ind i de forskellige niveauer af signatur og deres juridiske virkninger, se vores komplet guide til eIDAS 2.0-forordningen.

---

Tekniske og sikkerhedsmæssige forpligtelser pålagt PSCo'erne

Overholdelse af ETSI-standarder

Kvalificerede udbydere skal overholde et sæt europæiske standarder udgivet af European Telecommunications Standards Institute (ETSI). De vigtigste er:

• ETSI EN 319 401: generelle sikkerhedskrav, der gælder for alle PSCo'er.

• ETSI EN 319 411-1 og 411-2: politikker og praksis for certificeringsmyndigheder, der udsteder kvalificerede signaturbeviser.

• ETSI EN 319 132: formater for avancerede elektroniske signaturer (XAdES til XML, PAdES til PDF, CAdES til CMS).

• ETSI EN 319 122: CAdES-format til kvalificerede signaturer.

• ETSI TS 119 431: krav til fjernede signaturoplysningstjenester (QSCD fjern).

Disse standarder er ikke valgfri: eIDAS-forordningen (Bilag II, III og IV) henviser eksplicit til dem for at definere minimumskravene til kvalificerede certifikater og signaturoprettelsesenheder.

Styring af sikrede signaturoprettelsesenheder (QSCD)

En af grundpillerne i kvalificeret signatur er brugen af en sikret signaturoplysninglesenhed (QSCD — Qualified Signature Creation Device) i overensstemmelse med Bilag II i eIDAS. Tjenesteudbyderen skal garantere, at:

• Signeringspartens private nøgle ikke kan genereres, lagres eller kopieres uden for QSCD.

• Nøglegenerering sker udelukkende i et certificeret miljø (Common Criteria-certificering EAL 4+ eller tilsvarende).

• Signeringspersonens godkendelse forudgået af alle signeringshandlinger baseres på mindst to godkendelsesfaktorer.

I sammenhæng med fjernsignering — som bliver mere og mere udbredt i SaaS-miljøer — gælder disse krav for HSM-serveren (Hardware Security Module), der hoster nøglerne. ANSSI har udgivet specifikke beskyttelsesprofiler (PP-0075, PP-0076), der definerer de sikkerhedskriterier, der skal opnås.

Politik for kontinuitet og varsling af hændelser

Artikel 19 i eIDAS forpligter alle leverandører af tillidsbaserede tjenester (kvalificerede eller ej) til at:

• Underrette kontrolmyndigheden (ANSSI) og eventuelt databeskyttelsesmyndigheden (CNIL) inden for 24 timer efter at have opdaget en sikkerhedskrænkelse, der kan påvirke tjenesteydelsens pålidelighed.

• Vedligeholde en dokumenteret og regelmæssigt testet plan for kontinuitet i virksomheden.

• Have en informatikssikkerhedspolitik, der er formaliseret, dækker særlig risikostyring, hændelseshåndtering og sikkerhedskopiering.

Disse krav overlapper delvist med dem i NIS2-direktivet (2022/2555/EU), som blev gennemført i fransk ret ved lov nr. 2023-703 af 1. august 2023, som klassificerer PSCo'er af betydelig størrelse blandt vigtige eller essentielle enheder, der er underlagt styrkede cybersikkerhedsforpligtelser.

> Få indsigt i, hvordan elektronisk signatur for juridiske bureauer skal integrere disse begrænsninger i deres dokumentworkflows.

---

RGPD-specifikke forpligtelser for PSCo'erne

Er PSCo dataansvarlig eller databehandler?

PSCo'ens RGPD-status afhænger af karakteren af den leverede tjeneste:

• Når PSCo direkte udsteder kvalificerede certifikater på vegne af underskriveren og bestemmer formålene med behandling af personoplysninger (identitet, biometriske godkendelsesfaktorer), handler det som ansvarlig for behandling i betydningen af artikel 4(7) RGPD.

• Når det integrerer sit API i en B2B-klients platform og behandler personoplysninger efter dette klients anvisninger, er det databehandler (artikel 4(8) RGPD) og skal obligatorisk indgå en DPA (Data Processing Agreement) i overensstemmelse med artikel 28 RGPD.

I praksis kombinerer de fleste SaaS PSCo'er de to kvaliteter: ansvarlig for styringen af deres egen certificeringsinfrastruktur, databehandler for behandlingen af signeringsdokumenter og -metadata.

Specifikke forpligtelser vedr. biometriske og identitetsoplysninger

Identifikation og godkendelse af underskriveren — et obligatorisk trin for at udstede et kvalificeret certifikat — indebærer ofte behandling af følsomme data: scanning af identitetskort, video-selfie, biometriske data fra ansigtsgenkendelse. Disse data er personoplysninger omfattet af RGPD, eller endda biometriske data omfattet af artikel 9 RGPD (særlige kategorier).

PSCo'ens forpligtelser omfatter:

• Retsgrundlag: eksplicit samtykke (artikel 9§2a) eller i visse tilfælde juridisk forpligtelse (artikel 9§2b) til behandling af biometriske data.

• Begrænset opbevaringsvarighed: i henhold til CNIL's retningslinjer skal identifikationsdata opbevares det strengt nødvendige tid, normalt justeret til certifikatets gyldighed + juridisk bevisvarighed (ofte 10 år for private dokumenter, artikel 2224 i den franske kodeks).

• Påvirkningsanalyse (AIPD) obligatorisk (artikel 35 RGPD), når behandlingen kan medføre høj risiko — hvilket systematisk er tilfældet for biometri.

• Behandlingsregister (artikel 30 RGPD) opdateret og dokumentering af hver behandlingstype.

Internationale dataoverførsler

Mange PSCo'er hoster hele eller dele af deres infrastruktur uden for Det Europæiske Økonomiske Område (EØS). I så fald gælder de passende garantier, der kræves i RGPD kapitel V: adequatbeslutning, standardkontraktklausuler (SCC'er) fra Kommissionen eller bindende virksomhedsregler (BCR). Afgørelse Schrems II (CJEU, C-311/18, 16. juli 2020) mindede om, at overførsler til USA kræver forudgående landerisikoanalyse.

> For at forstå, hvordan disse regler påvirker din organisation, se vores guide til elektronisk signatur i virksomheden.

---

Forpligtelser vedr. transparens og brugeriformation

Certificeringspolitik (PC) og erklæring om certificeringspraksis (DPC)

Alle PSCo'er, der udsteder certifikater, skal offentliggøre en certificeringspolitik (PC) og en erklæring om certificeringspraksis (DPC), i overensstemmelse med normen ETSI EN 319 411. Disse offentligt tilgængelige dokumenter detaljerer:

• Procedurerne for identifikation og registrering af underskrivelsesjuridisk ansvar.

• Fysiske og logiske sikkerhedsforanstaltninger på plads.

• Betingelser for revokering af certifikater og tilhørende tidsplaner.

• PSCo'ens ansvarsfelter og ansvarsbegrænsninger.

Fraværet eller ufuldstændigheden af disse dokumenter udgør en manglende overensstemmelse, der kan påpeges under omkvalificeringsrevisionen fra den akkrediterede organisation.

Forudgående kontraktuel information og information til kunder

Ud over rent tekniske forpligtelser forpligter artikel 13 RGPD PSCo til at give hver person, hvis data indsamles, klar og tilgængelig information vedr.:

• Identiteten på den dataansvarlige og DPO'ens kontaktoplysninger (obligatorisk for PSCo'er, der behandler store mængder følsomme data i stor skala, artikel 37 RGPD).

• Formål og retsgrundlag for hver behandling.

• Personers rettigheder (adgang, berigtigelse, sletning, portabilitet, indsigelse).

• Eventuelle datamodtagere (databehandlere, myndigheder).

Disse oplysninger skal fremgå af servicens privatlivspolitik, i vilkårene og betingelserne og eventuelt i DPA'en indgået med erhvervskunder.

Kvalificeret tidssegling og revisionslog

For at garantere signaturer af langtidsværdi forbinder seriøse PSCo'er systematisk en kvalificeret elektronisk tidssegling (artikel 42 eIDAS) til hver underskrevet handling. Denne tidssegling udgør juridisk dokumentation af dataenes eksistens på den angivne dato. Bevaringen af revisionsloggen (identifikationslogs, dokument-fingeraftryk, signaturdata) er en faktisk forpligtelse for at muliggøre eventuel retsmæssig verifikation senere.

> Sammenlign markedløsninger efter disse kriterier i vores sammenligning af elektroniske signaturløsninger.

---

eIDAS 2.0: nye forpligtelser hen imod 2026-2027

Forordningen eIDAS 2.0 (EU) 2024/1183

Udgivet i EU's Tidende den 30. april 2024 styrker forordningen (EU) 2024/1183 kaldet "eIDAS 2.0" betydeligt PSCo'ernes forpligtelser omkring tre akser:

• Den europæiske tegnebog for digital identitet (EUDI Wallet): medlemsstaterne skal stille en certificeret digital identitetspung til rådighed senest den 2. november 2026. PSCo'erne skal integrere deres tjeneste med denne pung for at tilbyde kvalificerede signaturer via eIDAS 2.0-identitet.

• Håndtering af attributattestationer: eIDAS 2.0 introducerer kvalificerede attributattestationer (QEAAs), udstedt af kvalificerede attestationsleverandører. Nye revisions- og kvalifikationsprocedurer gælder.

• Styrkelse af tilsyn: nationale tilsynsmyndigheder (ANSSI for Frankrig) ser deres beføjelser udvidet, specielt muligheden for at foretage ubeaandet revision og at pålægge tvangsmæssige korrigerende foranstaltninger inden for forkortet tidsfrist.

Praktiske konsekvenser for nuværende udbydere

PSCo'er, der allerede er kvalificeret under eIDAS 1.0, skal gennemgå en gradvis compliance-tilpasning før de fastsatte tidsfrister efter Kommissionens gennemførelsesakter (publicerede eller under forberedelse). De vigtigste justeringer vedrører:

• Redesign af identifikationsinfrastrukturen for at understøtte EUDI Wallet som godkendelsesMETODE.

• Opdatering af PC/DPC for at integrere nye certificat- og attestationstypologier.

• Styrkelse af sikkerhedskravene for fjerne QSCD'er med nye kommende beskyttelsesprofiler.

For kundevirksomheder betyder det at verificere allerede i dag, at deres tjenesteudbyders eIDAS 2.0-compliancedirektiv er dokumenteret og verificerbar.

Juridisk ramme gældende for forpligtelser for elektroniske signaturudbydere

Normkæden gældende for elektroniske signaturudbydere, der opererer i Frankrig, er struktureret på flere komplementerende hierarkiske niveauer.

Fransk kodeks — Artikler 1366 og 1367

Artikel 1366 i den franske kodeks anerkender elektronisk skrift som bevismetode svarende til papirbrev, på betingelse af, at "personen, fra hvem det hidrører, kan identificeres ordentligt, og det etableres og bevares under forhold, der egner sig til at garantere dets integritet". Artikel 1367 præciserer, at elektronisk signatur "består i brugen af en pålidelig identifikationsmetode, der garanterer dens forbindelse til den handling, den er knyttet til". Presumptionen om pålidelighed kommer kvalificerede signaturer svarende til eIDAS til gode og vender bevisbyrden til fordel for underskriveren.

Forordning eIDAS nr. 910/2014/EU

Denne forordning, der gælder direkte i alle medlemsstater, etablerer det juridiske framework for tillidsbaserede tjenester. Artikel 26 definerer betingelserne for avancerede elektroniske signaturer; artikel 28 kravene til kvalificerede certifikater; Bilag I detaljerer det obligatoriske indhold af disse certifikater. Kvalificerede PSCo'er nyder godt af en presumption om overensstemmelse med forordningens tekniske og juridiske krav (artikel 19§2), hvilket udgør en væsentlig fordel i tilfælde af retssag.

Forordning eIDAS 2.0 — (EU) 2024/1183

Publiceret den 30. april 2024 introducerer denne ændringsforordning nye kategorier af tillidsbaserede tjenester (kvalificerede attributattestationer, kvalificerede arkiveringsjeneister) og styrker tilsynsforpligtelserne. Den ophæver og erstatter delvist forordning 910/2014, med progressiv gælde efter Kommissionens gennemførelsesakter.

RGPD — Forordning (EU) 2016/679

RGPD gælder for enhver behandling af personoplysninger i forbindelse med en elektronisk signaturjeneiste. Artikler 5 (behandlingsprincipper), 6 (retsgrundlag), 9 (følsomme data), 13-14 (information), 28 (databehandling), 32 (sikkerhed), 33-34 (varslingsansvar), 35 (påvirkningsanalyse) og 37 (databeskyttelsesansvarlig) er de mest hyppigt gældende bestemmelser. CNIL er den kompetente tilsynsmyndighed i Frankrig og kan pålægge bøder op til 20 millioner euro eller 4 % af årligt verdensomspændende omsætning (artikel 83§5 RGPD).

NIS2-direktiv — (EU) 2022/2555

Gennemført i fransk ret ved lov nr. 2023-703 af 1. august 2023 klassificerer NIS2 betydelige PSCo'er blandt vigtige eller essentielle enheder, der er underlagt forpligtelser til cybersikkerhedsstyring og underretning af hændelser til ANSSI inden for 24 timer (tidlig advarsel) og derefter 72 timer (fuldstændig underretning).

ETSI-standarder

Hele sættet af standarder EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 og TS 119 431 udgør den obligatoriske tekniske reference for omkvalificeringsrevision. Manglende overholdelse resulterer i umuligheden af at opnå eller bevare kvalificeret status.

Juridiske risici i tilfælde af manglende overensstemmelse

En ikke-kompatibel tjenesteudbyders risici omfatter: fjernelse fra den franske TSL, engagement af kontraktlig og ekstrakontraktuel ansvar, CNIL-sanktioner, NIS2-bøder, der kan nå 10 millioner euro eller 2 % af verdensomspændende omsætning for vigtige enheder og 20 millioner eller 4 % af omsætning for essentielle enheder, samt retssager fra kunder, der har lidt tab på grund af ugyldige signaturer.

Brugssituationer: hvordan virksomheder verificerer deres PSCo-compliance

Scenerio 1 — En industriel koncern med 3 000 leverandørkontrakter årligt

En industriel koncern af mellemstørrelse (ETI), aktiv inden for fremstilling af mekanisk udstyr, dematieraliserer alle sine leverandørkontrakter via en SaaS-baseret elektronisk signaturplatform. Under en intern revision udløst af lovgivningsændring konstaterer juridiske direktionen, at den valgte tjenesteudbyders — oprindeligt valgt ud fra pris — hverken er på den franske TSL eller på nogen TSL i Europa. De leverede signaturer er "enkle" uden robust mekanisme til signerers identifikation.

Ansigtsmålrettet juridisk risiko — hele samlingen af underskrevne kontrakter kunne få sin bevisværdi anfægtet i tilfælde af retssag — påbegynder virksomheden migrering til ANSSI-kvalificeret PSCo. Den nye løsning integrerer avanceret signatur med kvalificeret certifikat, kvalificeret tidssegling og eksporterbar revisionslog. Migreringskampagnen, gennemført på under 8 uger, sikrer retrospektivt nye handlinger og etablerer kompatibel dokumentpolitik. Juridiske team estimerer, at kontentionsrisiko vedrørende gamle kontrakter forbliver minimal på grund af deres afvikling uden indsigelse, men enhver ny signatur dækkes nu.

Observerede gevinster: 60 % reduktion i kontention baseret på signaturautenticitet og 3,5 dages gennemsnitligt speedup på komplekse kontraktunderskrifter på grund af automatiseret validering.

Scenerio 2 — Et juridisk bureau på 25 medarbejdere specialiseret i erhvervsret

Et juridisk bureau, der ønsker at digitalisere underskrivelse af mandater, konsultation og procedurale handlinger, evaluerer flere tjenesteudbyders. Dens analysegrid inkluderer følgende kriterier: tilstedeværelse på TSL, offentliggørelse af tilgængelig PC/DPC, tilstedeværelse af RGPD-kompatibel DPA, tilgængelighed af kontaktbar DPO og certificering af fjerne QSCD'er.

Blandt fem evaluerede tjenesteudbyders opfylder kun to alle kriterierne. Bureauet vælger til sidst en PSCo, der nativt tilbyder kvalificeret signatur via fjernt QSCD, garanterende presumptionen om pålidelighed ifølge artikel 1367 i den franske kodeks. Implementering tager 3 uger, undervisning inkluderet. Resultat: 75 % af mandater bliver nu underskrevet inden for mindre end 24 timer sammenlignet med 5-7 dage tidligere (postal forsendelse), og bureauet kan retfærdiggøre for sine kunder det sikkerhedsjuridiske niveau givet af løsningen — et differentieringsargument i kommerciel pitching.

Scenerio 3 — En hospitalsforbindelse på omkring 1.200 senge

En hospitalsforbindelse ønsker at dematieralisere arbejdskontrakter, internkuveræger og partnerskabsaftaler med partner sundhedsinstitutioner. Følsomheden ved behandlede data (sundhedsdata for sundhedspersonale, personale data) pålægger særlig opmærksomhed til PSCo'ernes RGPD-forpligtelser.

IT-directionen og instituttets databeskyttelsesansvarlige kræver: datahostede i Frankrig hos en sundhedsdataleverandør, der er certificeret HDS (Sundhedsdatahostingudbyders certificering fastsat i artikel L.1111-8 i den offentlige sundhedskodeks), ingen oversendelse uden for EØS, dokumenteret AIPD for behandling af signerers identifikation og underskrevet DPA før produktionsstarten.

Efter valg af en PSCo, der opfylder disse kriterier, dækker udrulningen i prioritet HR-kontrakter (omkring 800 handlinger årligt). Gennemsnitlig signaturvarighed for tidsbegrænsede kontrakter falder fra 9 dage til mindre end 48 timer, hvilket frigør væsentlig kapacitet for HR-teams. Institutionen har desuden fuldstændig sporbarhed af indsamlede samtykker, årligt revideret af dens DPO.

Konklusion

De juridiske forpligtelser, der påhviler elektroniske signaturudbydere i Frankrig, udgør et krævende normativt korpus: eIDAS-kvalifikation, RGPD-kompatibilitet, overholdelse af ETSI-standarder, NIS2-forpligtelser og nærtid tilpasning til eIDAS 2.0. For brugervirksomheder at sikre sin PSCo'ernes kompatibilitet er ikke en valgfri tilgang — det er en betingelse sine qua non for værdi og beskyttelse af underskrivelses handlinger og personoplysninger hos underskrivelsesjuridisk ansvar.

Certyneo er en elektronisk signaturudbyders løsning designet til at opfylde alle disse forpligtelser: eIDAS-kompatibilitet, RGPD by design, suveræn hostede og dokumenteret eIDAS 2.0-vejledning. Klar til at sikre dine signaturer i fuldstændig kompatibilitet? Anmod om demonstration eller opret din Certyneo-konto og nyd personaliseret support fra dag et.