Conformidad eIDAS para PYME: la lista de verificación completa 2026

El reglamento europeo eIDAS (UE n°910/2014, pronto modificado por eIDAS 2.0) regula la firma electrónica en toda la Unión Europea. Para una PYME, estar en conformidad no es solo una casilla por marcar: es la garantía de que sus contratos son oponibles, que sus datos de firma están protegidos, y que se protege contra riesgos legales que pueden resultar costosos. Aquí está la lista de verificación 2026 en 12 puntos concretos para verificar que su PYME está perfectamente conforme con eIDAS.

Punto 1: elegir el nivel de firma correcto

Primer reflejo: mapee sus tipos de contratos y asigne un nivel objetivo. Contratos comerciales estándar (presupuestos, órdenes de compra, NDA simples): SES es suficiente. Contratos de trabajo, arrendamientos, NDA sensibles, acuerdos estratégicos: AES mínimo, preferiblemente con OTP SMS. Actos regulados (abogado, notario, contratos públicos por encima de un umbral): QES obligatorio. Sin este mapeo, corre el riesgo de subdimensionamiento (contrato rechazado) o sobredimensionamiento (costo excesivo).

Punto 2: verificar la cualificación del proveedor

Su proveedor debe ser un proveedor de servicios de confianza (QTSP) o basarse en un QTSP para los niveles AES/QES. Consulte la Lista de Servicios de Confianza publicada por ANSSI (eidas.ssi.gouv.fr) y la Lista Confiable europea (webgate.ec.europa.eu/tl-browser). Los QTSP franceses de referencia: Certigna, Docaposte, Certinomis, Universign. Para SES/AES a través de plataforma (Certyneo, Yousign, etc.), verifique su conformidad eIDAS explícitamente documentada.

Punto 3: probar la pista de auditoría

Firme un sobre de prueba y recupere la pista de auditoría (generalmente un PDF separado). Debe contener: identidad y correo electrónico del firmante, marca de tiempo de cada paso (envío, apertura, validación, firma), dirección IP, agente de usuario, hash del documento, validación OTP si AES. Si falta alguno de estos elementos, el valor de prueba se debilita. Certyneo proporciona la pista de auditoría completa incluso en plan gratuito.

Punto 4: controlar la marca de tiempo

La marca de tiempo debe ser emitida por una Autoridad de Sello de Tiempo (TSA) conforme con RFC 3161. Una marca de tiempo simplemente originada en un servidor NTP de la empresa no es suficiente. Abra el PDF firmado en Adobe Reader: pestaña Firmas → Detalles → Marca de tiempo. Debe ver un certificado TSA válido y un reloj certificado. Si el PDF no tiene marca de tiempo certificada, reconsidere la elección del proveedor.

Punto 5: archivar 10 años mínimo

El Código de Comercio (artículo L. 123-22) impone una conservación de 10 años para documentos comerciales. El Código del Trabajo impone 5 años para contratos de trabajo después de la terminación. El archivo debe preservar la integridad (hash, sellado) y el acceso. Ideal: formato PDF/A (ISO 19005), almacenamiento dual (primario + copia de seguridad fuera del sitio), caja fuerte electrónica calificada (CFE) para máxima prueba. Certyneo archiva 10 años por defecto y ofrece exportación a CFE socios.

Punto 6: verificar la ubicación de los datos

¿Dónde se alojan sus datos de firma? Para una PYME francesa que maneja contratos sensibles, privilegie alojamiento en Francia o UE. Pida a su proveedor la lista de subcontratistas y su ubicación (artículo 28 RGPD). Evite soluciones sujetas a la Ley de Nube Estadounidense para contratos estratégicos. Certyneo se aloja en Francia, sin dependencia de la Ley de Nube. Ver nuestro artículo en /blog/cloud-act-signature-electronique.

Punto 7: articular con el RGPD

Firma y RGPD están estrechamente vinculadas: cada sobre contiene datos personales (nombre, correo electrónico, IP, teléfono). Asegúrese de que su registro de tratamientos (art. 30 RGPD) incluya firma electrónica, que los plazos de conservación sean coherentes (10 años), y que los derechos de las personas sean implementables (acceso, rectificación, portabilidad). Si solicita muchas firmas, se recomienda un DPO. Ver nuestro artículo /blog/signature-electronique-rgpd.

Punto 8: identificar a los firmantes por adelantado

Para un AES sólido, la identificación no comienza en la firma: comienza en la recopilación de datos. Verifique correos electrónicos (sin alias, sin listas de distribución), números de teléfono (sin línea compartida), y mantenga registro de la fuente de identificación (documento de identidad para contratos pesados, KYC cliente existente para contratos continuos). Esta debida diligencia solidifica la prueba en caso de litigio.

Punto 9: capacitar a los equipos

Sus equipos comerciales, RRHH, jurídicos deben comprender las reglas: nunca forzar a un firmante a pasar por un dispositivo de terceros, nunca reenviar un PDF firmado modificado, nunca pegar una imagen de firma escaneada en lugar de una firma real. Una hora de capacitación por equipo es suficiente para establecer buenos hábitos. Certyneo proporciona una guía completa para compartir internamente (/recursos).

Punto 10: verificar los contratos de los proveedores

Los TyC/Términos del proveedor de firma deben: comprometer la conformidad eIDAS, especificar duraciones de archivo, incluir acuerdo de subcontratación RGPD (art. 28), documentar subcontratistas, prever plan de reversibilidad en caso de terminación. Solicite también SOC 2 Type II o equivalente si maneja volúmenes importantes. Para Certyneo, estos documentos están disponibles en /legal y /security.

Punto 11: prepararse para eIDAS 2.0 y la Cartera EUDI

El reglamento eIDAS 2.0 (UE 2024/1183) entra en vigor progresivamente e impone a los Estados miembros desplegar una Cartera EUDI antes de finales de 2026. Esta cartera de identidad digital permitirá acceder notablemente a QES a distancia sin oficina de registro física. Prepare su PYME: verifique que su proveedor tiene una hoja de ruta Cartera EUDI, siga las comunicaciones de ANSSI y la Comisión Europea. Ver /blog/eidas-2-nuevo-reglement-2026.

Punto 12: auditar anualmente

La conformidad no es un estado adquirido: es un enfoque continuo. Programe una auditoría anual (interna o externa) para verificar: cambios regulatorios, evoluciones del proveedor, mapeo actualizado de tipos de contrato, conservación efectiva, capacitación de nuevas contrataciones. Una auditoría ligera toma media jornada para una PYME y evita muchas sorpresas. Comience creando una cuenta gratuita de Certyneo en certyneo.com/signup para probar la conformidad concreta, luego consulte nuestra guía eIDAS para profundizar (/guide/eidas).