Obligaciones del prestador de firma electrónica en Francia

Introducción

Desplegar una solución de firma electrónica en Francia no es improviso. Detrás de cada firma cualificada o avanzada se esconden decenas de obligaciones legales que recaen en el prestador de servicios de confianza (PSCo). Reglamento eIDAS, RGPD, referencial general de seguridad, normas ETSI… el marco normativo es a la vez denso y evolutivo. Para las empresas usuarias, comprender estas obligaciones legales del prestador de firma electrónica en Francia eIDAS RGPD es indispensable para elegir un socio conforme y evitar todo riesgo jurídico. Este artículo detalla, sección por sección, el conjunto de exigencias aplicables a los PSCo que operan en territorio francés.

---

El estatus de prestador de servicios de confianza cualificado

¿Qué es un PSCo en el sentido de eIDAS?

El reglamento eIDAS n° 910/2014 distingue dos categorías de prestadores: los prestadores de servicios de confianza no cualificados y los prestadores cualificados (PSCQ). Los primeros pueden ofrecer servicios de firma electrónica simple o avanzada sin auditoría externa obligatoria. Los segundos — únicos autorizados a entregar firmas cualificadas en el sentido del artículo 3(15) de eIDAS — deben satisfacer exigencias considerablemente más estrictas.

En Francia, es la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) la que cumple el papel de autoridad supervisora (« Supervisory Body ») previsto por el artículo 17 de eIDAS. Publica y mantiene la lista de confianza francesa (TSL — Trust Service List), accesible en su sitio oficial, que enumera los prestadores cualificados y sus servicios.

El procedimiento de calificación: auditoría y conformidad

Para obtener el estatus cualificado, un PSCo debe obligatoriamente:

• Hacerse auditar sus servicios por un organismo de evaluación de la conformidad (CAB — Conformity Assessment Body) acreditado por el COFRAC según la norma EN ISO/IEC 17065.

• Presentar el informe de auditoría a la ANSSI, que se pronuncia sobre la otorgación del estatus cualificado. Este estatus se reevalúa al menos cada 24 meses (artículo 20 §1 eIDAS).

• Notificar a la ANSSI de cualquier cambio sustancial en sus servicios dentro de un plazo de 3 meses antes de la modificación prevista (artículo 21 eIDAS).

El incumplimiento de estos pasos expone al prestador a una baja de la TSL y a la pérdida de las presunciones jurídicas asociadas a la firma cualificada. Para las empresas clientes, recurrir a un PSCo no listado en la TSL equivale a no beneficiarse de ninguna presunción legal de fiabilidad.

> Para ir más allá sobre los diferentes niveles de firma y sus efectos jurídicos, consulta nuestro guía completo del reglamento eIDAS 2.0.

---

Obligaciones técnicas y de seguridad impuestas a los PSCo

Cumplimiento de las normas ETSI

Los prestadores cualificados deben conformarse a un conjunto de normas europeas publicadas por el European Telecommunications Standards Institute (ETSI). Las principales son:

• ETSI EN 319 401: exigencias generales de seguridad aplicables a todos los PSCo.

• ETSI EN 319 411-1 y 411-2: políticas y prácticas de las autoridades de certificación que entregan certificados de firma cualificada.

• ETSI EN 319 132: formatos de firma electrónica avanzada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122: formato CAdES para firmas cualificadas.

• ETSI TS 119 431: exigencias para servicios de creación de firma a distancia (QSCD remoto).

Estas normas no son optativas: el reglamento eIDAS (Anexos II, III y IV) las referencia explícitamente para definir los requisitos mínimos de los certificados cualificados y de los dispositivos de creación de firma.

Gestión de los dispositivos seguros de creación de firma (QSCD)

Uno de los pilares de la firma cualificada es el uso de un dispositivo seguro de creación de firma (QSCD — Qualified Signature Creation Device) conforme al Anexo II de eIDAS. El prestador debe garantizar que:

• La clave privada del signatario no pueda generarse, almacenarse ni copiarse fuera del QSCD.

• La generación de la clave se realiza exclusivamente en un entorno certificado (certificación Common Criteria EAL 4+ o equivalente).

• La autenticación del signatario anterior a todo acto de firma se basa en al menos dos factores de autenticación.

En un contexto de firma a distancia — cada vez más generalizado en entornos SaaS — estos requisitos se aplican al servidor HSM (Hardware Security Module) que alberga las claves. La ANSSI ha publicado perfiles de protección específicos (PP-0075, PP-0076) que definen los criterios de seguridad a alcanzar.

Política de continuidad y notificación de incidentes

El artículo 19 de eIDAS impone a todo prestador de servicios de confianza (cualificado o no) que:

• Notifique a la autoridad supervisora (ANSSI) y, en su caso, a la autoridad de protección de datos (CNIL), dentro de 24 horas tras la detección de una violación de seguridad susceptible de impactar la fiabilidad del servicio.

• Mantenga un plan de continuidad de actividad documentado y testado regularmente.

• Cuente con una política de seguridad de la información formalizada, que cubra especialmente la gestión de riesgos, gestión de incidentes y política de copia de seguridad.

Estas exigencias se solapan parcialmente con las de la directiva NIS2 (2022/2555/UE), transpuesta al derecho francés por la ley n° 2023-703 del 1 de agosto de 2023, que clasifica a los PSCo de tamaño significativo entre las entidades importantes o esenciales sujetas a obligaciones reforzadas de ciberseguridad.

> Descubre cómo la firma electrónica para bufetes de abogados debe integrar estas limitaciones en sus flujos documentales.

---

Obligaciones RGPD específicas para PSCo

¿El PSCo es responsable del tratamiento o encargado del tratamiento?

La calificación RGPD del prestador depende de la naturaleza del servicio prestado:

• Cuando el PSCo entrega directamente certificados cualificados en nombre del signatario y determina las finalidades del tratamiento de datos personales (identidad, datos biométricos de autenticación), actúa como responsable del tratamiento en el sentido del artículo 4(7) RGPD.

• Cuando integra su API en la plataforma de un cliente B2B y trata los datos personales solo conforme a las instrucciones de ese cliente, reviste la cualidad de encargado del tratamiento (artículo 4(8) RGPD) y debe obligatoriamente celebrar un DPA (Data Processing Agreement) conforme al artículo 28 RGPD.

En la práctica, la mayoría de los PSCo SaaS cumulan ambas cualidades: responsables de la gestión de su propia infraestructura de certificación, encargados para el tratamiento de los documentos y metadatos de los signatarios.

Obligaciones específicas vinculadas a datos biométricos y de identidad

La identificación y autenticación del signatario — paso obligatorio para entregar un certificado cualificado — a menudo implica el tratamiento de datos sensibles: escaneo de documento de identidad, selfie en video, datos biométricos de reconocimiento facial. Estos datos constituyen datos personales sujetos al RGPD, e incluso datos biométricos comprendidos en el artículo 9 RGPD (categorías especiales).

Las obligaciones del PSCo incluyen:

• Base legal: consentimiento explícito (artículo 9§2a) o, en ciertos casos, obligación legal (artículo 9§2b) para el tratamiento de datos biométricos.

• Duración de conservación limitada: según las directrices CNIL, los datos de identificación deben conservarse el tiempo estrictamente necesario, generalmente alineado con la duración de validez del certificado + duración legal de prueba (frecuentemente 10 años para actos privados, artículo 2224 del Código civil).

• Análisis de impacto (AIPD) obligatorio (artículo 35 RGPD) en cuanto el tratamiento sea susceptible de generar un riesgo elevado — lo que es sistemáticamente el caso para biometría.

• Registro de tratamientos (artículo 30 RGPD) mantenido actualizado y documentando cada categoría de tratamiento.

Transferencias internacionales de datos

Muchos PSCo alojan toda o parte de su infraestructura fuera del Espacio Económico Europeo (EEE). En este caso, las garantías apropiadas exigidas por el capítulo V del RGPD se imponen: decisión de adecuación, cláusulas contractuales normalizadas (SCCs) de la Comisión Europea o reglas empresariales vinculantes (BCR). La sentencia Schrems II (TJUE, C-311/18, 16 de julio de 2020) recordó que las transferencias a Estados Unidos requieren un análisis de riesgo país previo.

> Para comprender el impacto de estas reglas en tu organización, consulta nuestro guía sobre firma electrónica en empresa.

---

Obligaciones de transparencia e información hacia los usuarios

Política de Certificación (PC) y Declaración de Prácticas de Certificación (DPC)

Todo PSCo que entregue certificados está obligado a publicar una Política de Certificación (PC) y una Declaración de Prácticas de Certificación (DPC), conforme a la norma ETSI EN 319 411. Estos documentos, libremente accesibles, detallan:

• Los procedimientos de identificación e inscripción de los signatarios.

• Las medidas de seguridad físicas y lógicas desplegadas.

• Las condiciones de revocación de certificados y los plazos asociados.

• Las responsabilidades y limitaciones de garantía del PSCo.

La ausencia o incompletitud de estos documentos constituye una no conformidad susceptible de ser detectada durante la auditoría de recalificación por el organismo acreditado.

Información precontractual y contractual de los clientes

Más allá de las obligaciones puramente técnicas, el artículo 13 del RGPD impone al PSCo proporcionar a cada persona cuyos datos sean recabados una información clara y accesible sobre:

• La identidad del responsable del tratamiento y datos de contacto del DPO (obligatorio para los PSCo que tratan a gran escala datos sensibles, artículo 37 RGPD).

• Las finalidades y bases legales de cada tratamiento.

• Los derechos de las personas (acceso, rectificación, supresión, portabilidad, oposición).

• Los posibles destinatarios de los datos (encargados, autoridades).

Esta información debe figurar en la política de privacidad del servicio, en los CGU y, en su caso, en el DPA celebrado con los clientes profesionales.

Sellado temporal cualificado y pista de auditoría

Para garantizar el valor probante a largo plazo de las firmas, los PSCo serios asocian sistemáticamente un sello de tiempo electrónico cualificado (artículo 42 eIDAS) a cada acto firmado. Este sello constituye una prueba legalmente presunta de la existencia del dato en la fecha indicada. La conservación de la pista de auditoría (logs de identificación, huella del documento, datos de la firma) es una obligación de hecho para permitir cualquier verificación judicial posterior.

> Compara las soluciones del mercado según estos criterios en nuestro comparativo de soluciones de firma electrónica.

---

eIDAS 2.0: las nuevas obligaciones en el horizonte 2026-2027

El reglamento eIDAS 2.0 (UE) 2024/1183

Publicado en el Diario Oficial de la UE el 30 de abril de 2024, el reglamento (UE) 2024/1183 denominado « eIDAS 2.0 » refuerza significativamente las obligaciones de los PSCo alrededor de tres ejes:

• La Cartera Europea de Identidad Numérica (EUDI Wallet): los Estados miembros deben poner a disposición una cartera de identidad numérica certificada antes del 2 de noviembre de 2026. Los PSCo deberán integrar su servicio con esta cartera para ofrecer firmas cualificadas via identidad eIDAS 2.0.

• La gestión de atestaciones de atributos: eIDAS 2.0 introduce las atestaciones de atributos cualificadas (QEAAs), entregadas por prestadores cualificados de atestación. Se aplicarán nuevos procedimientos de auditoría y calificación.

• El refuerzo de la supervisión: las autoridades nacionales de supervisión (ANSSI para Francia) ven ampliados sus poderes, en particular la capacidad de realizar auditorías sorpresa e imponer medidas correctivas vinculantes en plazos reducidos.

Implicaciones prácticas para los prestadores actuales

Los PSCo ya cualificados bajo eIDAS 1.0 deberán proceder a una adaptación progresiva a la conformidad antes de los plazos fijados por los actos de ejecución de la Comisión (publicados o en curso de publicación). Las principales adaptaciones conciernen:

• La remodelación de la infraestructura de identificación para soportar la EUDI Wallet como medio de autenticación.

• La actualización de las PC/DPC para integrar las nuevas tipologías de certificados y atestaciones.

• El fortalecimiento de exigencias de seguridad de los QSCD remotos, con nuevos perfiles de protección próximos.

Para las empresas clientes, esto significa verificar desde ahora que su prestador dispone de una roadmap de conformidad eIDAS 2.0 documentada y verificable.

Marco legal aplicable a las obligaciones de los prestadores de firma electrónica

La cadena normativa aplicable a los prestadores de firma electrónica que operan en Francia se articula sobre varios niveles jerárquicos complementarios.

Código Civil francés — Artículos 1366 y 1367

El artículo 1366 del Código Civil reconoce el escrito electrónico como modo de prueba equivalente al escrito en papel, a condición de que « pueda ser debidamente identificada la persona de cuya mano emana y que conste y se conserve en condiciones tales que garanticen su integridad ». El artículo 1367 precisa que la firma electrónica « consiste en el uso de un procedimiento fiable de identificación que garantice su vínculo con el acto al que se adjunta ». La presunción de fiabilidad beneficia a las firmas cualificadas en el sentido de eIDAS, invirtiendo la carga de la prueba a favor del signatario.

Reglamento eIDAS n° 910/2014/UE

Este reglamento, de aplicación directa en todos los Estados miembros, establece el marco jurídico de los servicios de confianza. Su artículo 26 define las condiciones de la firma electrónica avanzada; su artículo 28 los requisitos de los certificados cualificados; su Anexo I detalla el contenido obligatorio de estos certificados. Los PSCo cualificados se benefician de una presunción de conformidad a los requisitos técnicos y jurídicos del reglamento (artículo 19§2), lo que constituye una ventaja importante en caso de litigio.

Reglamento eIDAS 2.0 — (UE) 2024/1183

Publicado el 30 de abril de 2024, este reglamento modificativo introduce nuevas categorías de servicios de confianza (atestaciones de atributos cualificadas, servicios de archivo cualificados) y refuerza las obligaciones de supervisión. Abroga y reemplaza parcialmente el reglamento 910/2014, con aplicabilidad progresiva según los actos de ejecución de la Comisión Europea.

RGPD — Reglamento (UE) 2016/679

El RGPD se aplica a todo tratamiento de datos personales realizado en el marco de un servicio de firma electrónica. Los artículos 5 (principios de legalidad), 6 (base legal), 9 (datos sensibles), 13-14 (información), 28 (subcontratación), 32 (seguridad), 33-34 (notificación de violación), 35 (AIPD) y 37 (DPO) constituyen las disposiciones más frecuentemente aplicables. La CNIL es la autoridad de control competente en Francia y puede imponer multas hasta 20 millones de euros o 4 % de la facturación mundial anual (artículo 83§5 RGPD).

Directiva NIS2 — (UE) 2022/2555

Transpuesta al derecho francés por la ley n° 2023-703 del 1 de agosto de 2023, NIS2 clasifica a los PSCo significativos entre las entidades importantes o esenciales sujetas a obligaciones de gestión de riesgos cibernéticos y notificación de incidentes a la ANSSI dentro de 24 horas (alerta temprana) y luego 72 horas (notificación completa).

Normas ETSI

El conjunto de normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 y TS 119 431 constituye la referencia técnica obligatoria para la auditoría de calificación. Su incumplimiento impide la obtención o mantenimiento del estatus cualificado.

Riesgos jurídicos en caso de no conformidad

Un prestador no conforme se expone a: baja de la TSL francesa, compromiso de su responsabilidad contractual y extracontractual, sanciones administrativas CNIL, multas NIS2 que pueden alcanzar 10 millones de euros o 2 % del CA mundial para entidades importantes y 20 millones o 4 % del CA para entidades esenciales, así como reclamaciones judiciales de clientes que hayan sufrido un perjuicio por firmas no válidas jurídicamente.

Escenarios de uso: cómo las empresas verifican la conformidad de su PSCo

Escenario 1 — Un grupo industrial que gestiona 3 000 contratos con proveedores por año

Un grupo industrial de tamaño mediano (ETI), activo en la fabricación de equipos mecánicos, desmaterializa el conjunto de sus contratos con proveedores mediante una plataforma SaaS de firma electrónica. Durante una auditoría interna desencadenada por una evolución normativa, la dirección jurídica constata que el prestador seleccionado — elegido inicialmente por criterio de precio — no figura en la TSL francesa, ni en ninguna TSL europea. Las firmas entregadas son de tipo « simple » sin mecanismo de identificación robusta del signatario.

Frente al riesgo jurídico — el conjunto de los contratos firmados podría ver cuestionado su valor probante en caso de litigio — la empresa emprende una migración hacia un PSCo cualificado ANSSI. La nueva solución integra una firma avanzada con certificado cualificado, un sello temporal cualificado y una pista de auditoría exportable. El proyecto de migración, realizado en menos de 8 semanas, permite asegurar rétroactivamente los nuevos actos y establecer una política documental conforme. Los equipos jurídicos estiman que el riesgo de contencioso vinculado a los antiguos contratos sigue siendo marginal por su ejecución sin impugnación, pero toda nueva firma está ahora cubierta.

Ganancias observadas: reducción del 60 % en litigios potenciales vinculados a la autenticidad de firmas, y ganancia de 3,5 días de plazo medio de firma en contratos complejos gracias a la automatización del flujo de validación.

Escenario 2 — Un bufete de abogados de 25 colaboradores especializado en derecho mercantil

Un bufete de abogados que desea digitalizar la firma de mandatos, consultorías y actos procesales evalúa varios prestadores. Su matriz de análisis integra los siguientes criterios: presencia en la TSL, publicación de una PC/DPC accesible, existencia de un DPA conforme RGPD, disponibilidad de un DPO contactable y certificación de los QSCD remotos.

De cinco prestadores evaluados, solo dos satisfacen la totalidad de criterios. El bufete finalmente selecciona un PSCo que ofrece nativamente una firma cualificada via QSCD remoto, garantizando la presunción de fiabilidad del artículo 1367 del Código Civil. La implementación toma 3 semanas, incluida formación. Resultado: el 75 % de los mandatos se firman ahora en menos de 24 horas contra 5 a 7 días anteriormente (envío postal), y el bufete puede justificar a sus clientes el nivel de seguridad jurídica que ofrece la solución — un argumento diferenciador en sus propuestas comerciales.

Escenario 3 — Un agrupamiento hospitalario de aproximadamente 1 200 camas

Un agrupamiento hospitalario público desea desmaterializar los contratos de trabajo, convenios de prácticas y acuerdos de partenariado con establecimientos de salud socios. La sensibilidad de los datos tratados (datos de salud del personal sanitario, datos RH) impone una vigilancia particular sobre las obligaciones RGPD del PSCo.

La DSI y el DPO del establecimiento exigen: alojamiento de datos en Francia en un proveedor de datos de salud certificado HDS (Hébergeur de Données de Santé, certificación prevista por el artículo L.1111-8 del Código de salud pública), ausencia de transferencia fuera de EEE, AIPD documentada para el tratamiento de identificación de signatarios, y DPA firmado antes de cualquier puesta en producción.

Tras la selección de un PSCo que responde a estos criterios, el despliegue cubre en prioridad los contratos RH (aproximadamente 800 actos por año). El plazo medio de firma de contratos de duración determinada pasa de 9 días a menos de 48 horas, liberando una capacidad significativa para los equipos de recursos humanos. El establecimiento dispone además de una trazabilidad completa de los consentimientos recabados, auditada anualmente por su DPO.

Conclusión

Las obligaciones legales que pesan sobre los prestadores de firma electrónica en Francia forman un corpus normativo exigente: calificación eIDAS, conformidad RGPD, cumplimiento de normas ETSI, obligaciones NIS2 y adaptación inminente a eIDAS 2.0. Para las empresas usuarias, asegurarse de la conformidad de su PSCo no es una gestión opcional — es una condición sine qua non del valor probante de los actos firmados y de la protección de datos personales de los signatarios.

Certyneo es un prestador de firma electrónica diseñado para responder al conjunto de estas exigencias: conformidad eIDAS, RGPD by design, alojamiento soberano y roadmap eIDAS 2.0 documentada. ¿Listo para asegurar tus firmas en total conformidad? Solicita una demostración o crea tu cuenta en Certyneo y benefíciate de un acompañamiento personalizado desde el primer día.