Υποχρεώσεις παρόχου ηλεκτρονικής υπογραφής Γαλλία
Προσδιορισμός eIDAS, συμμόρφωση RGPD, απαιτήσεις ANSSI : οι πάροχοι ηλεκτρονικής υπογραφής αντιμετωπίζουν ένα απαιτητικό νομικό πλαίσιο. Ανακαλύψτε όλες τις υποχρεώσεις που πρέπει να τηρούνται.
Ομάδα Certyneo
Συντάκτης — Certyneo · Σχετικά με την Certyneo
Εισαγωγή
Η ανάπτυξη μιας λύσης ηλεκτρονικής υπογραφής στη Γαλλία δεν γίνεται αυτοσχέδια. Πίσω από κάθε προσδιορισμένη ή προηγμένη υπογραφή κρύβονται δεκάδες νομικές υποχρεώσεις που επιβάλλονται στον πάροχο υπηρεσιών εμπιστοσύνης (PSCo). Κανονισμός eIDAS, RGPD, γενικό πλαίσιο ασφάλειας, κανόνες ETSI… το κανονιστικό πλαίσιο είναι ταυτόχρονα πυκνό και εξελικτικό. Για τις χρησιμοποιούσες επιχειρήσεις, η κατανόηση αυτών των νομικών υποχρεώσεων παρόχου ηλεκτρονικής υπογραφής Γαλλία eIDAS RGPD είναι απαραίτητη προκειμένου να επιλέξουν έναν συμμορφούμενο συνεργάτη και να αποφύγουν οποιονδήποτε νομικό κίνδυνο. Αυτό το άρθρο περιγράφει λεπτομερώς, ενότητα προς ενότητα, το σύνολο των απαιτήσεων που ισχύουν για τους PSCo που δραστηριοποιούνται στο γαλλικό έδαφος.
---
Το καθεστώς παρόχου προσδιορισμένης υπηρεσίας εμπιστοσύνης
Τι είναι ένας PSCo σύμφωνα με το eIDAS ;
Ο κανονισμός eIDAS αρ. 910/2014 διακρίνει δύο κατηγορίες παρόχων : τους παρόχους υπηρεσιών εμπιστοσύνης μη προσδιορισμένους και τους παρόχους προσδιορισμένους (PSCQ). Οι πρώτοι μπορούν να προσφέρουν υπηρεσίες απλής ή προηγμένης ηλεκτρονικής υπογραφής χωρίς υποχρεωτικό έλεγχο τρίτου. Οι δεύτεροι — μόνοι εξουσιοδοτημένοι να χορηγούν προσδιορισμένες υπογραφές σύμφωνα με το άρθρο 3(15) του eIDAS — πρέπει να ικανοποιούν σημαντικά πιο αυστηρές απαιτήσεις.
Στη Γαλλία, είναι ο Εθνικός Οργανισμός Ασφάλειας Συστημάτων Πληροφοριών (ANSSI) που εκπληρώνει τον ρόλο της αρχής εποπτείας (« Supervisory Body ») που προβλέπεται στο άρθρο 17 του eIDAS. Δημοσιεύει και διατηρεί τη γαλλική λίστα εμπιστοσύνης (TSL — Trust Service List), προσβάσιμη στο επίσημο site της, που καταγράφει τους προσδιορισμένους παρόχους και τις υπηρεσίες τους.
Η διαδικασία προσδιορισμού : έλεγχος και συμμόρφωση
Για να αποκτήσει το καθεστώς προσδιορισμένου, ένας PSCo πρέπει υποχρεωτικά :
- Να κάνει έλεγχο των υπηρεσιών του από ένα οργανισμό αξιολόγησης συμμόρφωσης (CAB — Conformity Assessment Body) επικυρωμένο από το COFRAC σύμφωνα με το πρότυπο EN ISO/IEC 17065.
- Να υποβάλει την έκθεση ελέγχου στο ANSSI, που αποφασίζει για τη χορήγηση του προσδιορισμένου καθεστώτος. Αυτό το καθεστώς επανεκτιμάται τουλάχιστον κάθε 24 μήνες (άρθρο 20 §1 eIDAS).
- Να ειδοποιήσει το ANSSI για οποιαδήποτε ουσιαστική αλλαγή στις υπηρεσίες του εντός 3 μηνών πριν από την προβλεπόμενη τροποποίηση (άρθρο 21 eIDAS).
Η μη τήρηση αυτών των σταδίων εκθέτει τον παρόχο σε απόσυρση από τη TSL και απώλεια των νομικών υποθέσεων που συνδέονται με την προσδιορισμένη υπογραφή. Για τις επιχειρήσεις πελάτες, η χρήση ενός PSCo που δεν αναγράφεται στη TSL ισοδυναμεί με την απουσία οποιασδήποτε νομικής υπόθεσης αξιοπιστίας.
> Για περισσότερες πληροφορίες σχετικά με τα διάφορα επίπεδα υπογραφής και τα νομικά τους αποτελέσματα, ανατρέξτε στο ολοκληρωμένο οδηγό κανονισμού eIDAS 2.0.
---
Τεχνικές υποχρεώσεις και υποχρεώσεις ασφάλειας που επιβάλλονται στους PSCo
Συμμόρφωση με τα πρότυπα ETSI
Οι προσδιορισμένοι πάροχοι πρέπει να συμμορφώνονται με ένα σύνολο ευρωπαϊκών προτύπων που δημοσιεύονται από το Ευρωπαϊκό Ινστιτούτο Τηλεπικοινωνιακών Προτύπων (ETSI). Οι κύριες είναι :
- ETSI EN 319 401 : γενικές απαιτήσεις ασφάλειας που εφαρμόζονται σε όλους τους PSCo.
- ETSI EN 319 411-1 και 411-2 : πολιτικές και πρακτικές των αρχών πιστοποίησης που χορηγούν πιστοποιητικά προσδιορισμένης υπογραφής.
- ETSI EN 319 132 : μορφές προηγμένης ηλεκτρονικής υπογραφής (XAdES για XML, PAdES για PDF, CAdES για CMS).
- ETSI EN 319 122 : μορφή CAdES για προσδιορισμένες υπογραφές.
- ETSI TS 119 431 : απαιτήσεις για υπηρεσίες δημιουργίας υπογραφής σε απόσταση (απομακρυσμένο QSCD).
Αυτά τα πρότυπα δεν είναι προαιρετικά : ο κανονισμός eIDAS (Παράρτημα II, III και IV) αναφέρονται ρητά για τον καθορισμό των ελάχιστων απαιτήσεων των προσδιορισμένων πιστοποιητικών και των συσκευών δημιουργίας υπογραφής.
Διαχείριση προσδιορισμένων συσκευών δημιουργίας υπογραφής (QSCD)
Ένας από τους πυλώνες της προσδιορισμένης υπογραφής είναι η χρήση μιας προσδιορισμένης συσκευής δημιουργίας υπογραφής (QSCD — Qualified Signature Creation Device) σύμφωνη με το Παράρτημα II του eIDAS. Ο παρόχος πρέπει να διασφαλίσει ότι :
- Το ιδιωτικό κλειδί του υπογράφοντος δεν μπορεί να δημιουργηθεί, αποθηκευθεί ή αντιγραφεί έξω από το QSCD.
- Η δημιουργία του κλειδιού γίνεται αποκλειστικά σε ένα επιβεβαιωμένο περιβάλλον (πιστοποίηση Common Criteria EAL 4+ ή ισοδύναμο).
- Η επαλήθευση ταυτότητας του υπογράφοντος που προηγείται οποιασδήποτε ενέργειας υπογραφής βασίζεται σε τουλάχιστον δύο παράγοντες επαλήθευσης.
Σε ένα πλαίσιο απομακρυσμένης υπογραφής — όλο και πιο διαδεδομένο στα περιβάλλοντα SaaS — αυτές οι απαιτήσεις ισχύουν για τον διακομιστή HSM (Hardware Security Module) που φιλοξενεί τα κλειδιά. Το ANSSI έχει δημοσιεύσει συγκεκριμένα προφίλ προστασίας (PP-0075, PP-0076) που καθορίζουν τα κριτήρια ασφάλειας που πρέπει να επιτευχθούν.
Πολιτική συνέχειας και ειδοποίηση περιστατικών
Το άρθρο 19 του eIDAS επιβάλλει σε κάθε παρόχο υπηρεσιών εμπιστοσύνης (προσδιορισμένο ή μη) να :
- Ειδοποιεί την αρχή εποπτείας (ANSSI) και, εάν ισχύει, την αρχή προστασίας δεδομένων (CNIL), εντός 24 ωρών από τον εντοπισμό μιας παραβίασης ασφάλειας που ενδέχεται να έχει επίπτωση στην αξιοπιστία της υπηρεσίας.
- Διατηρεί ένα τεκμηριωμένο σχέδιο συνέχειας δραστηριοτήτων που δοκιμάζεται τακτικά.
- Διαθέτει μια τυποποιημένη πολιτική ασφάλειας πληροφοριών, που καλύπτει ιδίως τη διαχείριση κινδύνων, τη διαχείριση περιστατικών και την πολιτική αντιγράφου ασφαλείας.
Αυτές οι απαιτήσεις επικαλύπτονται εν μέρει με αυτές της οδηγίας NIS2 (2022/2555/ΕΕ), που μεταφέρθηκε στο γαλλικό δίκαιο με το νόμο αρ. 2023-703 της 1ης Αυγούστου 2023, η οποία ταξινομεί τους PSCo σημαντικού μεγέθους μεταξύ των σημαντικών ή ουσιωδών οντοτήτων που υπόκεινται σε ενισχυμένες υποχρεώσεις κυβερνασφάλειας.
> Ανακαλύψτε πώς η ηλεκτρονική υπογραφή για δικηγορικά γραφεία πρέπει να ενσωματώσει αυτούς τους περιορισμούς στις ροές εργασίας εγγράφων.
---
Εξειδικευμένες υποχρεώσεις RGPD για PSCo
Είναι ο PSCo υπεύθυνος επεξεργασίας ή επεξεργαστής ;
Η προσδιορισμός RGPD του παρόχου εξαρτάται από τη φύση της υπηρεσίας που προσφέρεται :
- Όταν ο PSCo χορηγεί απευθείας προσδιορισμένα πιστοποιητικά atas όνομα του υπογράφοντος και καθορίζει τους σκοπούς της επεξεργασίας προσωπικών δεδομένων (ταυτότητα, βιομετρικά δεδομένα επαλήθευσης), ενεργεί ως υπεύθυνος επεξεργασίας σύμφωνα με το άρθρο 4(7) RGPD.
- Όταν ενσωματώνει το API του στην πλατφόρμα ενός πελάτη B2B και επεξεργάζεται τα προσωπικά δεδομένα σύμφωνα με τις μόνο εντολές αυτού του πελάτη, φέρει την ιδιότητα του επεξεργαστή (άρθρο 4(8) RGPD) και πρέπει υποχρεωτικά να συνάψει ένα DPA (Data Processing Agreement) σύμφωνα με το άρθρο 28 RGPD.
Στην πράξη, οι περισσότεροι SaaS PSCo συγκεντρώνουν και τις δύο ιδιότητες : υπεύθυνοι για τη διαχείριση της δικής τους υποδομής πιστοποίησης, επεξεργαστές για την επεξεργασία εγγράφων και μεταδεδομένων υπογραφόντων.
Εξειδικευμένες υποχρεώσεις σχετικά με βιομετρικά δεδομένα και δεδομένα ταυτότητας
Η ταυτοποίηση και επαλήθευση ταυτότητας του υπογράφοντος — υποχρεωτικό στάδιο για τη χορήγηση προσδιορισμένου πιστοποιητικού — συχνά συνεπάγεται την επεξεργασία ευαίσθητων δεδομένων : σάρωση ταυτοτήτας, βίντεο selfie, βιομετρικά δεδομένα αναγνώρισης προσώπου. Αυτά τα δεδομένα αποτελούν προσωπικά δεδομένα που υπόκεινται σε RGPD, ή και βιομετρικά δεδομένα που πέφτουν υπό το άρθρο 9 RGPD (ιδιαίτερες κατηγορίες).
Οι υποχρεώσεις του PSCo περιλαμβάνουν :
- Νομική βάση : ρητή συγκατάθεση (άρθρο 9§2a) ή, σε ορισμένες περιπτώσεις, νομική υποχρέωση (άρθρο 9§2b) για την επεξεργασία βιομετρικών δεδομένων.
- Περιορισμένη διάρκεια διατήρησης : σύμφωνα με τις κατευθυντήριες γραμμές CNIL, τα δεδομένα ταυτοποίησης πρέπει να διατηρηθούν για το χρόνο που είναι απαραίτητο, συνήθως ευθυγραμμισμένο με τη διάρκεια ισχύος του πιστοποιητικού + νόμιμη διάρκεια απόδειξης (συχνά 10 χρόνια για ιδιωτικές συμβάσεις, άρθρο 2224 του Γαλλικού Κώδικα Αστικού Δικαίου).
- Ανάλυση επιπτώσεων (AIPD) υποχρεωτική (άρθρο 35 RGPD) εφόσον η επεξεργασία είναι πιθανή να προκαλέσει υψηλό κίνδυνο — το οποίο είναι συστηματικά η περίπτωση για τη βιομετρία.
- Μητρώο επεξεργασιών (άρθρο 30 RGPD) που τηρείται ενημερωμένο και τεκμηριώνει κάθε κατηγορία επεξεργασίας.
Μεταφορές διεθνών δεδομένων
Πολλοί είναι οι PSCo που φιλοξενούν όλη ή μέρος της υποδομής τους έξω από τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Στην περίπτωση αυτή, οι κατάλληλες προστασίες που απαιτούνται από το κεφάλαιο V του RGPD ισχύουν : απόφαση επάρκειας, τυποποιημένες συμβατικές ρήτρες (SCCs) της Ευρωπαϊκής Επιτροπής ή δεσμευτικοί κανόνες εταιρειών (BCR). Η απόφαση Schrems II (CJUE, C-311/18, 16 Ιουλίου 2020) ανέφερε ότι οι μεταφορές προς τις Ηνωμένες Πολιτείες απαιτούν προηγούμενη ανάλυση κινδύνου χώρας.
> Για να κατανοήσετε τον αντίκτυπο αυτών των κανόνων στην οργάνωσή σας, ανατρέξτε στο οδηγό για ηλεκτρονική υπογραφή σε επιχειρήσεις.
---
Υποχρεώσεις διαφάνειας και ενημέρωσης προς τους χρήστες
Πολιτική πιστοποίησης (PC) και Δήλωση πρακτικών πιστοποίησης (DPC)
Κάθε PSCo που χορηγεί πιστοποιητικά υποχρεούται να δημοσιεύσει μια Πολιτική Πιστοποίησης (PC) και μια Δήλωση Πρακτικών Πιστοποίησης (DPC), σύμφωνα με το πρότυπο ETSI EN 319 411. Αυτά τα έγγραφα, ελεύθερα προσβάσιμα, λεπτομεριάζουν :
- Τις διαδικασίες ταυτοποίησης και εγγραφής υπογραφόντων.
- Τα μέτρα ασφάλειας φυσικής και λογικής ασφάλειας που αναπτύχθηκαν.
- Τις προϋποθέσεις ανάκλησης πιστοποιητικών και τους σχετικούς χρόνους.
- Τις ευθύνες και περιορισμούς ευθύνης του PSCo.
Η απουσία ή η ελλιπότητα αυτών των εγγράφων αποτελεί μη συμμόρφωση που ενδέχεται να αναφερθεί κατά τον έλεγχο επανάληψης προσδιορισμού από τον επικυρωμένο οργανισμό.
Προσυμβατική και συμβατική ενημέρωση πελατών
Πέρα από τις καθαρά τεχνικές υποχρεώσεις, το άρθρο 13 RGPD επιβάλλει στον PSCo να παράσχει σε κάθε πρόσωπο του οποίου τα δεδομένα συλλέγονται μια σαφή και προσβάσιμη ενημέρωση για :
- Την ταυτότητα του υπευθύνου επεξεργασίας και τα στοιχεία επικοινωνίας του DPO (υποχρεωτικό για τους PSCo που επεξεργάζονται σε μεγάλη κλίμακα ευαίσθητα δεδομένα, άρθρο 37 RGPD).
- Τους σκοπούς και τις νομικές βάσεις κάθε επεξεργασίας.
- Τα δικαιώματα των προσώπων (πρόσβαση, διόρθωση, διαγραφή, φορητότητα, αντίρρηση).
- Τους ενδεχόμενους δέκτες δεδομένων (επεξεργαστές, αρχές).
Αυτές οι πληροφορίες πρέπει να εμφανίζονται στη πολιτική απορρήτου της υπηρεσίας, στους ΓΟΣ και, εάν ισχύει, στο DPA που υπογράφεται με τους επαγγελματικούς πελάτες.
Προσδιορισμένη χρονοσήμανση και ίχνη ελέγχου
Για να διασφαλίσουν τη νομική αξία μακροπρόθεσμα των υπογραφών, οι σοβαροί PSCo συσχετίζουν συστηματικά μια προσδιορισμένη ηλεκτρονική χρονοσήμανση (άρθρο 42 eIDAS) με κάθε υπογεγραμμένη ενέργεια. Αυτή η χρονοσήμανση αποτελεί νομικά προϋπολογιζόμενη απόδειξη της ύπαρξης του δεδομένου στην υποδεικνυόμενη ημερομηνία. Η διατήρηση του ίχνους ελέγχου (αρχεία ταυτοποίησης, αποτύπωμα εγγράφου, δεδομένα υπογραφής) είναι πρακτικά μια υποχρέωση για να επιτρέψει οποιαδήποτε μελλοντική δικαστική επαλήθευση.
> Συγκρίνετε τις λύσεις της αγοράς σύμφωνα με αυτά τα κριτήρια στο σύγκριση λύσεων ηλεκτρονικής υπογραφής.
---
eIDAS 2.0 : οι νέες υποχρεώσεις στον ορίζοντα 2026-2027
Ο κανονισμός eIDAS 2.0 (ΕΕ) 2024/1183
Δημοσιευμένο στην Επίσημη Εφημερίδα της ΕΕ στις 30 Απριλίου 2024, ο κανονισμός (ΕΕ) 2024/1183 λέγεται « eIDAS 2.0 » ενισχύει σημαντικά τις υποχρεώσεις των PSCo γύρω από τρεις άξονες :
- Το Ευρωπαϊκό Πορτοφόλι Ψηφιακής Ταυτότητας (EUDI Wallet) : τα κράτη μέλη πρέπει να θέσουν στη διάθεση ένα πορτοφόλι ψηφιακής ταυτότητας πιστοποιημένο έως την 2 Νοεμβρίου 2026. Οι PSCo θα πρέπει να ενσωματώσουν την υπηρεσία τους με αυτό το πορτοφόλι για να προσφέρουν προσδιορισμένες υπογραφές μέσω της ταυτότητας eIDAS 2.0.
- Η διαχείριση επικυρώσεων χαρακτηριστικών : το eIDAS 2.0 εισάγει τις προσδιορισμένες επικυρώσεις χαρακτηριστικών (QEAAs), που χορηγούνται από προσδιορισμένους παρόχους επικύρωσης. Νέες διαδικασίες ελέγχου και προσδιορισμού θα ισχύουν.
- Η ενίσχυση της εποπτείας : οι εθνικές αρχές εποπτείας (ANSSI
Δοκιμάστε το Certyneo δωρεάν
Στείλτε τον πρώτο σας φάκελο υπογραφής σε λιγότερο από 5 λεπτά. 5 δωρεάν φάκελοι τον μήνα, χωρίς πιστωτική κάρτα.
Εμβάθυνση του θέματος
Άρθρα αναφοράς σχετικά με αυτό το θέμα.
Εμβάθυνση του θέματος
Οι ολοκληρωμένοι οδηγοί μας για να κατακτήσετε την ηλεκτρονική υπογραφή.
Προτεινόμενα άρθρα
Εμβαθύνετε τις γνώσεις σας με αυτά τα σχετικά άρθρα.
Ψηφιακή διακυβέρνηση των ενώσεων: οδηγός 2026
Η ψηφιακή διακυβέρνηση γίνεται αναπόφευκτη για τις ενώσεις που επιθυμούν να εκσυγχρονίσουν τις διαδικασίες λήψης αποφάσεών τους. Ανακαλύψτε τα εργαλεία, τις νομικές υποχρεώσεις και τις κύριες στρατηγικές για το 2026.
Γενική Συνέλευση εν τηλεκατάστασι: οδηγός για τις ενώσεις
Η διοργάνωση μιας γενικής συνέλευσης εν τηλεκατάστασι θέτει ακριβής νομικές ερωτήσεις για τις ενώσεις. Ανακαλύψτε πώς να εξασφαλίσετε τις αποφάσεις σας μέσω της ηλεκτρονικής υπογραφής.
Ηλεκτρονικοί κανονισμοί ενώσεων: τροποποίηση το 2026
Η τροποποίηση των κανονισμών μιας ένωσης μέσω ηλεκτρονικής υπογραφής είναι πλέον πλήρως αναγνωρισμένη από το γαλλικό δίκαιο. Ανακαλύψτε τη ολοκληρωμένη διαδικασία και τις προϋποθέσεις ισχύος.