Conformidad eIDAS para PYME: la checklist completa 2026

El reglamento europeo eIDAS (UE n°910/2014, pronto modificado por eIDAS 2.0) regula la firma electrónica en toda la Unión Europea. Para una PYME, estar en conformidad no es solo una casilla por marcar: es la garantía de que sus contratos son válidos, que sus datos de firma están protegidos, y que se previene contra riesgos legales que pueden resultar costosos. Aquí está la checklist 2026 en 12 puntos concretos para verificar que su PYME está perfectamente conforme con eIDAS.

Punto 1: elegir el nivel de firma correcto

Primer reflejo: mapee sus tipos de contratos y asocie un nivel objetivo. Contratos comerciales estándar (presupuestos, órdenes de compra, NDA simples): SES es suficiente. Contratos de trabajo, arrendamientos, NDA sensibles, acuerdos estratégicos: AES mínimo, preferiblemente con OTP SMS. Actos regulados (abogado, notario, licitaciones públicas por encima de un umbral): QES obligatorio. Sin este mapeo, corre el riesgo de subdimensionamiento (contrato rechazado) o superdimensionamiento (costo excesivo).

Punto 2: verificar la calificación del proveedor

Su proveedor debe ser un proveedor de servicios de confianza (QTSP) o apoyarse en un QTSP para los niveles AES/QES. Consulte la Trust Services List publicada por la ANSSI (eidas.ssi.gouv.fr) y la Trusted List europea (webgate.ec.europa.eu/tl-browser). Los QTSP franceses de referencia: Certigna, Docaposte, Certinomis, Universign. Para SES/AES vía plataforma (Certyneo, Yousign, etc.), verifique su conformidad eIDAS explícitamente documentada.

Punto 3: probar la pista de auditoría

Firme un sobre de prueba y recupere la pista de auditoría (generalmente un PDF separado). Debe contener: identidad y correo electrónico del firmante, marca de tiempo de cada etapa (envío, apertura, validación, firma), dirección IP, user agent, hash del documento, validación OTP si AES. Si falta alguno de estos elementos, el valor de la prueba se debilita. Certyneo proporciona la pista de auditoría completa incluso en plan gratuito.

Punto 4: controlar la marca de tiempo

La marca de tiempo debe ser emitida por una Autoridad de Marca de Tiempo (TSA) conforme con RFC 3161. Una marca de tiempo simplemente emitida por un servidor NTP de la empresa no es suficiente. Abra el PDF firmado en Adobe Reader: pestaña Firmas → Detalles → Marca de tiempo. Debe ver allí un certificado TSA válido y un reloj certificado. Si el PDF no tiene una marca de tiempo certificada, reconsidere la elección del proveedor.

Punto 5: archivar 10 años mínimo

El Código de Comercio (artículo L. 123-22) impone una conservación de 10 años para documentos comerciales. El Código del Trabajo impone 5 años para contratos de trabajo post-ruptura. El archivo debe preservar la integridad (hash, sellado) y el acceso. Ideal: formato PDF/A (ISO 19005), almacenamiento dual (primario + copia de seguridad fuera del sitio), cofre fuerte electrónico calificado (CFE) para máxima prueba. Certyneo archiva 10 años por defecto y ofrece exportación a CFE asociados.

Punto 6: verificar la ubicación de los datos

¿Dónde están alojados sus datos de firma? Para una PYME francesa que maneja contratos sensibles, privilegie un alojamiento en Francia o UE. Pida a su proveedor la lista de subcontratistas y su ubicación (artículo 28 RGPD). Evite soluciones sujetas a la Cloud Act estadounidense para contratos estratégicos. Certyneo está alojado en Francia, sin dependencia de Cloud Act. Vea nuestro artículo sobre /blog/cloud-act-signature-electronique.

Punto 7: articular con el RGPD

Firma y RGPD están estrechamente vinculados: cada sobre contiene datos personales (nombre, correo electrónico, IP, teléfono). Asegúrese de que su registro de tratamientos (art. 30 RGPD) incluya la firma electrónica, que los períodos de conservación sean coherentes (10 años), y que los derechos de las personas sean implementables (acceso, rectificación, portabilidad). Si solicita muchas firmas, se recomienda un DPO. Vea nuestro artículo /blog/signature-electronique-rgpd.

Punto 8: identificar a los firmantes por adelantado

Para un AES sólido, la identificación no comienza en la firma: comienza en la recopilación de datos. Verifique los correos electrónicos (sin alias, sin listas de distribución), los números de teléfono (sin línea compartida), y guarde constancia de la fuente de identificación (documento de identidad para contratos importantes, KYC cliente existente para contratos continuos). Esta diligencia debida fortalece la solidez de la prueba en caso de litigio.

Punto 9: formar a los equipos

Sus equipos comerciales, RRHH, legales deben comprender las reglas: nunca obligar a un firmante a usar un dispositivo de terceros, nunca devolver un PDF firmado modificado, nunca pegar una imagen de firma escaneada en lugar de una firma real. Una hora de capacitación por equipo es suficiente para anclar los buenos reflejos. Certyneo proporciona una guía completa para compartir internamente (/ressources).

Punto 10: verificar los contratos de los proveedores

Los TOS/CGV del proveedor de firma deben: comprometerse con la conformidad eIDAS, especificar los períodos de archivo, incluir un acuerdo de subcontratación RGPD (art. 28), documentar los subcontratistas, prever un plan de reversibilidad en caso de cese. Solicite también SOC 2 Type II o equivalente si maneja volúmenes importantes. Para Certyneo, estos documentos están disponibles en /legal y /security.

Punto 11: prepararse para eIDAS 2.0 y EUDI Wallet

El reglamento eIDAS 2.0 (UE 2024/1183) entra en vigor progresivamente e impone a los Estados miembros desplegar un EUDI Wallet antes de finales de 2026. Este monedero de identidad digital permitirá en particular acceder a QES de forma remota sin oficina de registro físico. Prepare su PYME: verifique que su proveedor tiene una hoja de ruta EUDI Wallet, siga las comunicaciones de la ANSSI y la Comisión Europea. Vea /blog/eidas-2-nouveau-reglement-2026.

Punto 12: auditar anualmente

La conformidad no es un estado adquirido: es un enfoque continuo. Programe una auditoría anual (interna o externa) para verificar: cambios regulatorios, evoluciones del proveedor, mapeo actualizado de tipos de contratos, conservación efectiva, capacitación de nuevos empleados. Una auditoría ligera toma media jornada para una PYME y evita muchas sorpresas. Comience creando una cuenta Certyneo gratuita en certyneo.com/signup para probar la conformidad práctica, luego consulte nuestra guía eIDAS para profundizar (/guide/eidas).