Υποχρεώσεις Παρόχου Ηλεκτρονικής Υπογραφής Γαλλία

Εισαγωγή

Η ανάπτυξη μιας λύσης ηλεκτρονικής υπογραφής στη Γαλλία δεν γίνεται αυτοσχέδια. Πίσω από κάθε προσδιοριστέα ή προηγμένη υπογραφή κρύβονται δεκάδες νομικές υποχρεώσεις που επιβάλλονται στον παρόχο υπηρεσιών εμπιστοσύνης (PSCo). Κανονισμός eIDAS, GDPR, γενικό πλαίσιο ασφάλειας, πρότυπα ETSI... το κανονιστικό πλαίσιο είναι ταυτόχρονα πυκνό και εξελίξιμο. Για τις επιχειρήσεις που χρησιμοποιούν το σύστημα, η κατανόηση αυτών των νομικών υποχρεώσεων παρόχου ηλεκτρονικής υπογραφής Γαλλία eIDAS GDPR είναι απαραίτητη προκειμένου να επιλέξουν έναν συμμορφούμενο εταίρο και να αποφύγουν οποιονδήποτε νομικό κίνδυνο. Αυτό το άρθρο αναλυτικά, ενότητα ανά ενότητα, το σύνολο των απαιτήσεων που ισχύουν για τους PSCo που δραστηριοποιούνται στο γαλλικό έδαφος.

---

Ο καθεστώς του προσδιοριστέου παρόχου υπηρεσιών εμπιστοσύνης

Τι είναι ένας PSCo κατά την έννοια του eIDAS;

Ο κανονισμός eIDAS αριθ. 910/2014 διακρίνει δύο κατηγορίες παρόχων: τους μη προσδιοριστέους παρόχους υπηρεσιών εμπιστοσύνης και τους προσδιοριστέους παρόχους (PSCQ). Οι πρώτοι μπορούν να προσφέρουν υπηρεσίες απλής ή προηγμένης ηλεκτρονικής υπογραφής χωρίς υποχρεωτικό έλεγχο τρίτου. Οι δεύτεροι — μόνο αυτοί εξουσιοδοτημένοι να εκδίδουν προσδιοριστέες υπογραφές κατά την έννοια του άρθρου 3(15) του eIDAS — πρέπει να πληρούν σημαντικά αυστηρότερες απαιτήσεις.

Στη Γαλλία, είναι το Εθνικό Γραφείο για την Ασφάλεια των Συστημάτων Πληροφοριών (ANSSI) που διαδραματίζει το ρόλο της αρχής εποπτείας («Supervisory Body») που προβλέπεται στο άρθρο 17 του eIDAS. Δημοσιεύει και συντηρεί τη γαλλική λίστα εμπιστοσύνης (TSL — Trust Service List), προσβάσιμη στον επίσημο ιστότοπό της, που καταγράφει τους προσδιοριστέους παρόχους και τις υπηρεσίες τους.

Η διαδικασία προσδιορισμού: έλεγχος και συμμόρφωση

Για να αποκτήσει ο PSCo το προσδιοριστέο καθεστώς, πρέπει υποχρεωτικά να:

• Κάνει έλεγχο των υπηρεσιών του από ένα όργανο αξιολόγησης της συμμόρφωσης (CAB — Conformity Assessment Body) που έχει πιστοποιηθεί από το COFRAC σύμφωνα με το πρότυπο EN ISO/IEC 17065.

• Υποβάλει την έκθεση ελέγχου στο ANSSI, το οποίο αποφασίζει για την απόδοση του προσδιοριστέου καθεστώτος. Αυτό το καθεστώς επανεξετάζεται τουλάχιστον κάθε 24 μήνες (άρθρο 20 §1 eIDAS).

• Ειδοποιεί το ANSSI για οποιαδήποτε ουσιαστική αλλαγή στις υπηρεσίες του εντός 3 μηνών πριν από την προγραμματισμένη τροποποίηση (άρθρο 21 eIDAS).

Η μη τήρηση αυτών των σταδίων εκθέτει τον πάροχο στη διαγραφή από τη TSL και την απώλεια των νομικών υποθέσεων που συνδέονται με την προσδιοριστέα υπογραφή. Για τις επιχειρήσεις πελατών, η έκφυγη σε έναν PSCo που δεν αναγράφεται στη TSL ισοδυναμεί με το να μην αποκομίζουν καμία νομική υπόθεση αξιοπιστίας.

> Για περισσότερες πληροφορίες σχετικά με τα διάφορα επίπεδα υπογραφής και τις νομικές επιπτώσεις τους, συμβουλευτείτε το άρθρό μας.

---

Τεχνικές υποχρεώσεις και υποχρεώσεις ασφάλειας που επιβάλλονται στους PSCo

Συμμόρφωση με τα πρότυπα ETSI

Οι προσδιοριστέοι πάροχοι πρέπει να συμμορφώνονται με ένα σύνολο ευρωπαϊκών προτύπων που δημοσιεύει το Ευρωπαϊκό Ινστιτούτο Προτύπων Τηλεπικοινωνιών (ETSI). Οι κύριοι είναι:

• ETSI EN 319 401: γενικές απαιτήσεις ασφάλειας που ισχύουν για όλους τους PSCo.

• ETSI EN 319 411-1 και 411-2: πολιτικές και πρακτικές των αρχών πιστοποίησης που εκδίδουν πιστοποιητικά προσδιοριστέας υπογραφής.

• ETSI EN 319 132: μορφές προηγμένης ηλεκτρονικής υπογραφής (XAdES για XML, PAdES για PDF, CAdES για CMS).

• ETSI EN 319 122: μορφή CAdES για προσδιοριστέες υπογραφές.

• ETSI TS 119 431: απαιτήσεις για υπηρεσίες δημιουργίας υπογραφής εξ αποστάσεως (απομακρυσμένο QSCD).

Αυτά τα πρότυπα δεν είναι προαιρετικά: ο κανονισμός eIDAS (Παράρτημα II, III και IV) παραπέμπει σε αυτά ρητώς για να ορίσει τις ελάχιστες απαιτήσεις των προσδιοριστέων πιστοποιητικών και των συσκευών δημιουργίας υπογραφής.

Διαχείριση ασφαλών συσκευών δημιουργίας υπογραφής (QSCD)

Ένας από τους πυλώνες της προσδιοριστέας υπογραφής είναι η χρήση μιας ασφαλούς συσκευής δημιουργίας υπογραφής (QSCD — Qualified Signature Creation Device) που συμμορφώνεται με το Παράρτημα II του eIDAS. Ο πάροχος πρέπει να εξασφαλίσει ότι:

• Το ιδιωτικό κλειδί του υπογράφοντος δεν μπορεί να δημιουργηθεί, να αποθηκευτεί ή να αντιγραφεί έξω από το QSCD.

• Η δημιουργία του κλειδιού γίνεται αποκλειστικά σε ένα πιστοποιημένο περιβάλλον (πιστοποίηση Common Criteria EAL 4+ ή ισοδύναμη).

• Η αυθεντικοποίηση του υπογράφοντος που προηγείται οποιασδήποτε υπογραφής βασίζεται σε τουλάχιστον δύο παράγοντες αυθεντικοποίησης.

Σε ένα πλαίσιο υπογραφής εξ αποστάσεως — όλο και πιο διαδεδομένο στα περιβάλλοντα SaaS — αυτές οι απαιτήσεις ισχύουν για τον διακομιστή HSM (Hardware Security Module) που φιλοξενεί τα κλειδιά. Το ANSSI έχει δημοσιεύσει συγκεκριμένα προφίλ προστασίας (PP-0075, PP-0076) που ορίζουν τα κριτήρια ασφάλειας που πρέπει να επιτευχθούν.

Πολιτική συνέχειας και ειδοποίηση συμβάντων

Το άρθρο 19 του eIDAS επιβάλλει σε κάθε παρόχο υπηρεσιών εμπιστοσύνης (προσδιοριστέο ή μη) το:

• Ειδοποιήσει την αρχή εποπτείας (ANSSI) και, κατά περίπτωση, την αρχή προστασίας δεδομένων (CNIL), εντός 24 ωρών από τη διαπίστωση μιας παραβίασης ασφάλειας που είναι δυνατόν να έχει επιπτώσεις στην αξιοπιστία της υπηρεσίας.

• Διατηρεί ένα τεκμηριωμένο και τακτικά δοκιμαζόμενο σχέδιο επιχειρηματικής συνέχειας.

• Διαθέτει τυποποιημένη πολιτική ασφάλειας της πληροφορίας που καλύπτει ιδίως τη διαχείριση κινδύνων, τη διαχείριση συμβάντων και την πολιτική αντιγράφων ασφαλείας.

Αυτές οι απαιτήσεις επικαλύπτονται εν μέρει με αυτές της Οδηγίας NIS2 (2022/2555/ΕΕ), που μεταφέρθηκε στο γαλλικό δίκαιο με το νόμο αριθ. 2023-703 της 1ης Αυγούστου 2023, ο οποίος κατατάσσει τους PSCo σημαντικού μεγέθους μεταξύ των σημαντικών ή ουσιαστικών οντοτήτων που υπόκεινται σε ενισχυμένες υποχρεώσεις κυβερνοασφάλειας.

> Ανακαλύψτε πώς η πολιτική ασφάλειας πρέπει να ενσωματώσει αυτούς τους περιορισμούς στις ροές εργασίας τεκμηρίωσής τους.

---

Ειδικές υποχρεώσεις GDPR για τους PSCo

Ο PSCo, υπεύθυνος επεξεργασίας ή επεξεργαστής;

Η ταξινόμηση GDPR του παρόχου εξαρτάται από τη φύση της υπηρεσίας που παρέχεται:

• Όταν ο PSCo εκδίδει άμεσα προσδιοριστέα πιστοποιητικά στο όνομα του υπογράφοντος και καθορίζει τους σκοπούς της επεξεργασίας προσωπικών δεδομένων (ταυτότητα, βιομετρικά δεδομένα αυθεντικοποίησης), ενεργεί ως υπεύθυνος επεξεργασίας κατά την έννοια του άρθρου 4(7) GDPR.

• Όταν ενσωματώνει το API της στην πλατφόρμα ενός πελάτη B2B και επεξεργάζεται τα προσωπικά δεδομένα σύμφωνα μόνο με τις οδηγίες αυτού του πελάτη, λαμβάνει την ιδιότητα του επεξεργαστή (άρθρο 4(8) GDPR) και πρέπει υποχρεωτικά να συνάψει ένα DPA (Data Processing Agreement) που συμμορφώνεται με το άρθρο 28 GDPR.

Στην πράξη, οι περισσότεροι SaaS PSCo συγκεντρώνουν και τις δύο ιδιότητες: υπεύθυνος για τη διαχείριση της δικής τους υποδομής πιστοποίησης, επεξεργαστής για την επεξεργασία εγγράφων και μεταδεδομένων υπογράφοντων.

Ειδικές υποχρεώσεις που σχετίζονται με βιομετρικά δεδομένα και δεδομένα ταυτότητας

Η αναγνώριση και αυθεντικοποίηση του υπογράφοντος — υποχρεωτικό στάδιο για την έκδοση ενός προσδιοριστέου πιστοποιητικού — συχνά συνεπάγεται την επεξεργασία ευαίσθητων δεδομένων: σάρωση ταυτότητας, βίντεο selfie, βιομετρικά δεδομένα αναγνώρισης προσώπου. Αυτά τα δεδομένα αποτελούν προσωπικά δεδομένα που υπόκεινται στο GDPR, ή ακόμα και βιομετρικά δεδομένα που υπάγονται στο άρθρο 9 GDPR (ιδιαίτερες κατηγορίες).

Οι υποχρεώσεις του PSCo περιλαμβάνουν:

• Νομική βάση: ρητή συγκατάθεση (άρθρο 9§2a) ή, σε ορισμένες περιπτώσεις, νομική υποχρέωση (άρθρο 9§2b) για την επεξεργασία βιομετρικών δεδομένων.

• Περιορισμένη διάρκεια διατήρησης: σύμφωνα με τις κατευθυντήριες γραμμές CNIL, τα δεδομένα αναγνώρισης πρέπει να διατηρηθούν τόσο χρόνο όσο αυστηρά απαραίτητο, συνήθως ευθυγραμμισμένα με τη διάρκεια ισχύος του πιστοποιητικού + νομική διάρκεια απόδειξης (συχνά 10 χρόνια για πράξεις υπό ιδιωτικό δίκαιο, άρθρο 2224 του Γαλλικού Κώδικα Πολιτικής Δικονομίας).

• Ανάλυση επιπτώσεων (AIPD) υποχρεωτική (άρθρο 35 GDPR) δεδομένου ότι η επεξεργασία είναι δυνατόν να ενέχει υψηλό κίνδυνο — γεγονός που ισχύει συστηματικά για τη βιομετρία.

• Μητρώο επεξεργασιών (άρθρο 30 GDPR) ενημερωμένο και τεκμηρίωση κάθε κατηγορίας επεξεργασίας.

Διεθνείς μεταφορές δεδομένων

Πολλοί PSCo φιλοξενούν όλη ή μέρος της υποδομής τους έξω από τον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Σε αυτή την περίπτωση, οι κατάλληλες εγγυήσεις που απαιτούνται από το κεφάλαιο V GDPR ισχύουν: απόφαση επάρκειας, τυποποιημένες συμβατικές ρήτρες (SCCs) της Επιτροπής Ευρώπης ή κανόνες εταιρείας που δεσμεύουν (BCR). Η απόφαση Schrems II (CJEU, C-311/18, 16 Ιουλίου 2020) υπενθύμισε ότι οι μεταφορές προς τις Ηνωμένες Πολιτείες απαιτούν προηγούμενη ανάλυση κινδύνου χώρας.

> Για να κατανοήσετε την επίδραση αυτών των κανόνων στον οργανισμό σας, συμβουλευτείτε το άρθρό μας.

---

Υποχρεώσεις διαφάνειας και πληροφόρησης των χρηστών

Πολιτική πιστοποίησης (PC) και Δήλωση Πρακτικών Πιστοποίησης (DPC)

Κάθε PSCo που εκδίδει πιστοποιητικά υποχρεούται να δημοσιεύει μια Πολιτική Πιστοποίησης (PC) και μια Δήλωση Πρακτικών Πιστοποίησης (DPC), σύμφωνα με το πρότυπο ETSI EN 319 411. Αυτά τα έγγραφα, ελεύθερα προσβάσιμα, λεπτομερείς:

• Τις διαδικασίες αναγνώρισης και εγγραφής των υπογράφοντων.

• Τα μέτρα ασφάλειας φυσικής και λογικής προστασίας που έχουν εφαρμοστεί.

• Τις συνθήκες ανάκλησης πιστοποιητικών και τις σχετικές προθεσμίες.

• Τις ευθύνες και τις περιορισμούς εγγύησης του PSCo.

Η απουσία ή η ελλιπότητα αυτών των εγγράφων αποτελεί μη συμμόρφωση που είναι δυνατόν να διαπιστωθεί κατά τον έλεγχο επαναπροσδιορισμού από τον πιστοποιημένο οργανισμό.

Προσυμβατική και συμβατική πληροφόρηση των πελατών

Πέρα των καθαρά τεχνικών υποχρεώσεων, το άρθρο 13 GDPR επιβάλλει στον PSCo να παρέχει σε κάθε πρόσωπο του οποίου τα δεδομένα συλλέγονται ξεκάθαρη και προσιτή πληροφόρηση σχετικά με:

• Την ταυτότητα του υπεύθυνου επεξεργασίας και τις επαφές του DPO (υποχρεωτικό για τους PSCo που επεξεργάζονται μεγάλης κλίμακας ευαίσθητα δεδομένα, άρθρο 37 GDPR).

• Τους σκοπούς και τις νομικές βάσεις κάθε επεξεργασίας.

• Τα δικαιώματα των ατόμων (πρόσβαση, διόρθωση, διαγραφή, φορητότητα, αντίρρηση).

• Τους πιθανούς δέκτες δεδομένων (επεξεργαστές, αρχές).

Αυτές οι πληροφορίες πρέπει να εμφανίζονται στη πολιτική απορρήτου της υπηρεσίας, στους Όρους Χρήσης και, κατά περίπτωση, στο DPA που συνάπτεται με τους επαγγελματικούς πελάτες.

Προσδιοριστέα χρονοσήμανση και ίχνη ελέγχου

Για να εξασφαλίσει τη νομική αποδεικτική αξία για μεγάλη χρονική περίοδο των υπογραφών, οι σοβαροί PSCo συσχετίζουν συστηματικά μια προσδιοριστέα ηλεκτρονική χρονοσήμανση (άρθρο 42 eIDAS) με κάθε υπογεγραμμένη πράξη. Αυτή η χρονοσήμανση αποτελεί νομικώς προϋποτιθέμενη απόδειξη της ύπαρξης του δεδομένου στην αναφερόμενη ημερομηνία. Η διατήρηση του ίχνους ελέγχου (αρχεία αναγνώρισης, αποτύπωση εγγράφου, δεδομένα υπογραφής) είναι πρακτικώς υποχρεωτική για να επιτρέψει οποιαδήποτε μεταγενέστερη δικαστική επαλήθευση.

> Συγκρίνετε τις λύσεις της αγοράς σύμφωνα με αυτά τα κριτήρια στην ανάλυσή μας.

---

eIDAS 2.0: νέες υποχρεώσεις στον ορίζοντα 2026-2027

Ο κανονισμός eIDAS 2.0 (ΕΕ) 2024/1183

Δημοσιευμένος στο Επίσημο Δελτίο της ΕΕ στις 30 Απριλίου 2024, ο κανονισμός (ΕΕ) 2024/1183 γνωστός ως «eIDAS 2.0» ενισχύει σημαντικά τις υποχρεώσεις των PSCo γύρω από τρεις άξονες:

• Το Ευρωπαϊκό Πορτοφόλι Ψηφιακής Ταυτότητας (EUDI Wallet): τα κράτη μέλη πρέπει να θέσουν διαθέσιμο ένα πιστοποιημένο πορτοφόλι ψηφιακής ταυτότητας έως τις 2 Νοεμβρίου 2026. Οι PSCo θα πρέπει να ενσωματώσουν την υπηρεσία τους με αυτό το πορτοφόλι για να προσφέρουν προσδιοριστέες υπογραφές μέσω της ταυτότητας eIDAS 2.0.

• Διαχείριση πιστοποιήσεων ιδιοτήτων: το eIDAS 2.0 εισάγει τις προσδιοριστέες πιστοποιήσεις ιδιοτήτων (QEAAs), που εκδίδονται από προσδιοριστέους παρόχους πιστοποίησης ιδιοτήτων. Θα ισχύσουν νέες διαδικασίες ελέγχου και προσδιορισμού.

• Ενίσχυση της εποπτείας: οι εθνικές αρχές εποπτείας (ANSSI για τη Γαλλία) βλέπουν τις αρμοδιότητές τους να επεκτείνονται, ιδίως την ικανότητα να διενεργούν απρόσμενους ελέγχους και να επιβάλλουν υποχρεωτικά διορθωτικά μέτρα σε συντομευμένες προθεσμίες.

Πρακτικές επιπτώσεις για τους ήδη υπάρχοντες παρόχους

Οι PSCo που είναι ήδη προσδιοριστέοι σύμφωνα με το eIDAS 1.0 θα πρέπει να προχωρήσουν σε προοδευτική συμμόρφωση πριν από τις καθορισμένες προθεσμίες από τις πράξεις εφαρμογής της Επιτροπής (δημοσιευμένες ή σε εξέλιξη).