Obligaciones del proveedor de firma electrónica Francia
Calificación eIDAS, conformidad RGPD, requisitos ANSSI: los proveedores de firma electrónica se enfrentan a un marco legal exigente. Descubre todas las obligaciones a cumplir.
Actualizado el
Redactor — Certyneo · Acerca de Certyneo

Introducción
Desplegar una solución de firma electrónica en Francia no se improvisa. Detrás de cada firma calificada o avanzada se esconden decenas de obligaciones legales que incumben al proveedor de servicios de confianza (PSCo). Reglamento eIDAS, RGPD, referencial general de seguridad, normas ETSI… el marco regulatorio es a la vez denso y evolutivo. Para las empresas usuarias, comprender estas obligaciones legales proveedor firma electrónica Francia eIDAS RGPD es indispensable para elegir un socio conforme y evitar cualquier riesgo jurídico. Este artículo detalla, sección por sección, el conjunto de exigencias aplicables a los PSCo que operan en el territorio francés.
---
El estatus de proveedor de servicios de confianza calificado
¿Qué es un PSCo según eIDAS?
El reglamento eIDAS nº 910/2014 distingue dos categorías de proveedores: los proveedores de servicios de confianza no calificados y los proveedores calificados (PSCQ). Los primeros pueden proponer servicios de firma electrónica simple o avanzada sin auditoría obligatoria de terceros. Los segundos —únicos autorizados a entregar firmas calificadas en el sentido del artículo 3(15) de eIDAS— deben satisfacer exigencias considerablemente más estrictas.
En Francia, es la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) quien desempeña el papel de autoridad de supervisión (« Supervisory Body ») previsto por el artículo 17 de eIDAS. Publica y mantiene la lista de confianza francesa (TSL — Trust Service List), accesible en su sitio oficial, que enumera los proveedores calificados y sus servicios.
El procedimiento de calificación: auditoría y conformidad
Para obtener el estatus calificado, un PSCo debe obligatoriamente:
- Hacer auditar sus servicios por un organismo de evaluación de la conformidad (CAB — Conformity Assessment Body) acreditado por el COFRAC según la norma EN ISO/IEC 17065.
- Presentar el informe de auditoría a la ANSSI, que pronuncia la sentencia sobre la concesión del estatus calificado. Este estatus se reevalúa al menos cada 24 meses (artículo 20 §1 eIDAS).
- Notificar a la ANSSI de cualquier cambio sustancial en sus servicios dentro de un plazo de 3 meses antes de la modificación prevista (artículo 21 eIDAS).
El incumplimiento de estos pasos expone al proveedor a una baja de la TSL y a la pérdida de las presunciones jurídicas asociadas a la firma calificada. Para las empresas clientes, recurrir a un PSCo no listado en la TSL equivale a no beneficiarse de ninguna presunción legal de fiabilidad.
> Para ir más allá sobre los diferentes niveles de firma y sus efectos jurídicos, consulta nuestro guía completa del reglamento eIDAS 2.0.
---
Obligaciones técnicas y de seguridad impuestas a los PSCo
Conformidad con las normas ETSI
Los proveedores calificados deben cumplir un conjunto de normas europeas publicadas por el Instituto Europeo de Normas de Telecomunicaciones (ETSI). Las principales son:
- ETSI EN 319 401: exigencias generales de seguridad aplicables a todos los PSCo.
- ETSI EN 319 411-1 y 411-2: políticas y prácticas de las autoridades de certificación que expiden certificados de firma calificada.
- ETSI EN 319 132: formatos de firma electrónica avanzada (XAdES para XML, PAdES para PDF, CAdES para CMS).
- ETSI EN 319 122: formato CAdES para firmas calificadas.
- ETSI TS 119 431: exigencias para los servicios de creación de firma a distancia (QSCD distante).
Estas normas no son optativas: el reglamento eIDAS (Anexos II, III y IV) las cita explícitamente para definir los requisitos mínimos de los certificados calificados y los dispositivos de creación de firma.
Gestión de los dispositivos de creación de firma seguros (QSCD)
Uno de los pilares de la firma calificada es el uso de un dispositivo seguro de creación de firma (QSCD — Qualified Signature Creation Device) conforme al Anexo II de eIDAS. El proveedor debe garantizar que:
- La clave privada del firmante no puede generarse, almacenarse ni copiarse fuera del QSCD.
- La generación de la clave se realiza exclusivamente en un entorno certificado (certificación Common Criteria EAL 4+ o equivalente).
- La autenticación del firmante anterior a cualquier acto de firma se basa en al menos dos factores de autenticación.
En un contexto de firma a distancia —cada vez más frecuente en los entornos SaaS— estas exigencias se aplican al servidor HSM (Hardware Security Module) que aloja las claves. La ANSSI ha publicado perfiles de protección específicos (PP-0075, PP-0076) que definen los criterios de seguridad a alcanzar.
Política de continuidad y notificación de incidentes
El artículo 19 de eIDAS impone a todo proveedor de servicios de confianza (calificado o no) que:
- Notifique a la autoridad de supervisión (ANSSI) y, en su caso, a la autoridad de protección de datos (CNIL), en las 24 horas posteriores a la detección de una violación de seguridad susceptible de tener un impacto en la fiabilidad del servicio.
- Disponga de un plan de continuidad de la actividad documentado y probado regularmente.
- Disponga de una política de seguridad de la información formalizada, que cubra en particular la gestión de riesgos, la gestión de incidentes y la política de copia de seguridad.
Estas exigencias se superponen parcialmente con las de la directiva NIS2 (2022/2555/UE), transpuesta al derecho francés por la ley nº 2023-703 del 1 de agosto de 2023, que clasifica a los PSCo de tamaño significativo entre las entidades importantes o esenciales sometidas a obligaciones reforzadas de ciberseguridad.
> Descubre cómo la firma electrónica para los despachos jurídicos debe integrar estas limitaciones en sus flujos documentales.
---
Obligaciones RGPD específicas para los PSCo
¿El PSCo, responsable de tratamiento o encargado de tratamiento?
La calificación RGPD del proveedor depende de la naturaleza del servicio prestado:
- Cuando el PSCo entrega directamente certificados calificados en nombre del firmante y determina los fines del tratamiento de datos personales (identidad, datos biométricos de autenticación), actúa como responsable del tratamiento en el sentido del artículo 4(7) RGPD.
- Cuando integra su API en la plataforma de un cliente B2B y trata los datos personales según las instrucciones únicamente de este cliente, reviste la cualidad de encargado del tratamiento (artículo 4(8) RGPD) y debe obligatoriamente celebrar un DPA (Data Processing Agreement) conforme al artículo 28 RGPD.
En la práctica, la mayoría de los PSCo SaaS acumulan ambas cualidades: responsable para la gestión de su propia infraestructura de certificación, encargado para el tratamiento de documentos y metadatos de los firmantes.
Obligaciones específicas vinculadas a datos biométricos e identidad
La identificación y autenticación del firmante —paso obligatorio para entregar un certificado calificado— implica frecuentemente el tratamiento de datos sensibles: escaneo de documento de identidad, selfie en vídeo, datos biométricos de reconocimiento facial. Estos datos constituyen datos personales sujetos al RGPD, incluso datos biométricos comprendidos en el artículo 9 RGPD (categorías especiales).
Las obligaciones del PSCo incluyen:
- Base legal: el consentimiento explícito (artículo 9§2a) o, en algunos casos, la obligación legal (artículo 9§2b) para el tratamiento de datos biométricos.
- Duración de conservación limitada: según las directrices CNIL, los datos de identificación deben conservarse el tiempo estrictamente necesario, generalmente alineado con la duración de validez del certificado + duración legal de prueba (a menudo 10 años para actos bajo firma privada, artículo 2224 del Código Civil).
- Análisis de impacto (AIPD) obligatorio (artículo 35 RGPD) cuando el tratamiento es susceptible de generar un riesgo elevado — lo que es sistemáticamente el caso para la biometría.
- Registro de tratamientos (artículo 30 RGPD) mantenido actualizado y documentando cada categoría de tratamiento.
Transferencias internacionales de datos
Muchos PSCo alojan total o parcialmente su infraestructura fuera del Espacio Económico Europeo (EEE). En este caso, las garantías apropiadas exigidas por el capítulo V RGPD resultan obligatorias: decisión de adecuación, cláusulas contractuales tipo (SCCs) de la Comisión Europea o normas corporativas vinculantes (BCR). La sentencia Schrems II (TJUE, C-311/18, 16 de julio de 2020) recordó que las transferencias hacia Estados Unidos requieren un análisis previo del riesgo país.
> Para comprender el impacto de estas reglas en tu organización, consulta nuestro guía sobre firma electrónica en empresa.
---
Obligaciones de transparencia e información hacia los usuarios
Política de Certificación (PC) y Declaración de Prácticas de Certificación (DPC)
Todo PSCo que expida certificados está obligado a publicar una Política de Certificación (PC) y una Declaración de Prácticas de Certificación (DPC), conforme a la norma ETSI EN 319 411. Estos documentos, libremente accesibles, detallan:
- Los procedimientos de identificación e inscripción de firmantes.
- Las medidas de seguridad físicas y lógicas desplegadas.
- Las condiciones de revocación de certificados y los plazos asociados.
- Las responsabilidades y limitaciones de garantía del PSCo.
La ausencia o incompletitud de estos documentos constituye una no conformidad susceptible de ser detectada durante la auditoría de recalificación por el organismo acreditado.
Información precontractual y contractual de los clientes
Más allá de las obligaciones puramente técnicas, el artículo 13 RGPD impone al PSCo proporcionar a cada persona cuyos datos son recopilados una información clara y accesible sobre:
- La identidad del responsable del tratamiento y los datos de contacto del DPO (obligatorio para los PSCo que tratan a gran escala datos sensibles, artículo 37 RGPD).
- Los fines y bases legales de cada tratamiento.
- Los derechos de las personas (acceso, rectificación, supresión, portabilidad, oposición).
- Los eventuales destinatarios de los datos (encargados de tratamiento, autoridades).
Esta información debe figurar en la política de privacidad del servicio, en los términos de servicio y, en su caso, en el DPA celebrado con los clientes profesionales.
Marca de tiempo calificada y pista de auditoría
Para garantizar el valor probatorio a largo plazo de las firmas, los PSCo serios asocian sistemáticamente una marca de tiempo electrónica calificada (artículo 42 eIDAS) a cada acto firmado. Esta marca de tiempo constituye una prueba legalmente presunta de la existencia del dato en la fecha indicada. La conservación de la pista de auditoría (registros de identificación, huella del documento, datos de la firma) es una obligación de facto para permitir cualquier verificación judicial posterior.
> Compara las soluciones del mercado según estos criterios en nuestro comparativo de soluciones de firma electrónica.
---
eIDAS 2.0: las nuevas obligaciones en el horizonte 2026-2027
El reglamento eIDAS 2.0 (UE) 2024/1183
Publicado en el Diario Oficial de la UE el 30 de abril de 2024, el reglamento (UE) 2024/1183 denominado « eIDAS 2.0 » refuerza significativamente las obligaciones de los PSCo alrededor de tres ejes:
- La Cartera Europea de Identidad Numérica (EUDI Wallet): los Estados miembros deben poner a disposición una cartera de identidad numérica certificada antes del 2 de noviembre de 2026. Los PSCo deberán integrar su servicio con esta cartera para proponer firmas calificadas a través de la identidad eIDAS 2.0.
- La gestión de atestaciones de atributos: eIDAS 2.0 introduce las atestaciones de atributos calificadas (QEAAs), entregadas por proveedores calificados de atestación. Se aplicarán nuevos procedimientos de auditoría y calificación.
- El refuerzo de la supervisión: las autoridades nacionales de supervisión (ANSSI para Francia) ven ampliados sus poderes, en particular la capacidad de promover auditorías inopinadas e imponer medidas correctoras vinculantes en plazos acortados.
Implicaciones prácticas para los proveedores actuales
Los PSCo ya calificados según eIDAS 1.0 deberán proceder a una adaptación progresiva a la conformidad antes de los plazos fijados por los actos de ejecución de la Comisión (publicados o en curso de publicación). Las principales adaptaciones conciernen:
- La refundición de la infraestructura de identificación para soportar la EUDI Wallet como medio de autenticación.
- La actualización de PC/DPC para integrar las nuevas tipologías de certificados y atestaciones.
- El fortalecimiento de las exigencias de seguridad de los QSCD distantes, con nuevos perfiles de protección por venir.
Para las empresas clientes, esto significa verificar desde hoy que su proveedor dispone de una roadmap de conformidad eIDAS 2.0 documentada y verificable.
Marco legal aplicable a las obligaciones de los proveedores de firma electrónica
La cadena normativa aplicable a los proveedores de firma electrónica que operan en Francia se articula sobre varios niveles jerárquicos complementarios.
Código Civil Francés — Artículos 1366 y 1367
El artículo 1366 del Código Civil reconoce el escrito electrónico como modo de prueba equivalente al escrito en papel, siempre que « pueda ser debidamente identificada la persona de la que emana y que sea establecido y conservado en condiciones propias para garantizar su integridad ». El artículo 1367 precisa que la firma electrónica « consiste en el uso de un procedimiento fiable de identificación que garantiza su vínculo con el acto al que se adhiere ». La presunción de fiabilidad beneficia a las firmas calificadas según eIDAS, invirtiendo la carga de la prueba a favor del firmante.
Reglamento eIDAS nº 910/2014/UE
Este reglamento, de aplicación directa en todos los Estados miembros, establece el marco jurídico de los servicios de confianza. Su artículo 26 define las condiciones de la firma electrónica avanzada; su artículo 28 las exigencias de los certificados calificados; su Anexo I detalla el contenido obligatorio de estos certificados. Los PSCo calificados se benefician de una presunción de conformidad con las exigencias técnicas y jurídicas del reglamento (artículo 19§2), lo que constituye una ventaja importante en caso de litigio.
Reglamento eIDAS 2.0 — (UE) 2024/1183
Publicado el 30 de abril de 2024, este reglamento modificativo introduce nuevas categorías de servicios de confianza (atestaciones de atributos calificadas, servicios de archivado calificados) y refuerza las obligaciones de supervisión. Deroga y reemplaza parcialmente el reglamento 910/2014, con aplicabilidad progresiva según los actos de ejecución de la Comisión Europea.
RGPD — Reglamento (UE) 2016/679
El RGPD se aplica a cualquier tratamiento de datos personales realizado en el marco de un servicio de firma electrónica. Los artículos 5 (principios de licitud), 6 (base legal), 9 (datos sensibles), 13-14 (información), 28 (subcontratación), 32 (seguridad), 33-34 (notificación de violación), 35 (AIPD) y 37 (DPO) constituyen las disposiciones más frecuentemente aplicables. La CNIL es la autoridad de control competente en Francia y puede imponer multas hasta 20 millones de euros o el 4 % de la facturación mundial anual (artículo 83§5 RGPD).
Directiva NIS2 — (UE) 2022/2555
Transpuesta al derecho francés por la ley nº 2023-703 del 1 de agosto de 2023, NIS2 clasifica a los PSCo significativos entre las entidades importantes o esenciales sometidas a obligaciones de gestión de riesgos cibernéticos y notificación de incidentes a la ANSSI bajo 24 horas (alerta temprana) y luego 72 horas (notificación completa).
Normas ETSI
El conjunto de normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 y TS 119 431 constituye la referencia técnica obligatoria para la auditoría de calificación. Su incumplimiento impide la obtención o el mantenimiento del estatus calificado.
Riesgos jurídicos en caso de no conformidad
Un proveedor no conforme se expone a: baja de la TSL francesa, compromiso de su responsabilidad contractual y extracontractual, sanciones administrativas CNIL, multas NIS2 que pueden alcanzar 10 millones de euros o el 2 % del CA mundial para las entidades importantes y 20 millones o el 4 % del CA para las entidades esenciales, así como a demandas judiciales de clientes que hayan sufrido perjuicio debido a firmas no válidas jurídicamente.
Escenarios de uso: cómo las empresas verifican la conformidad de su PSCo
Escenario 1 — Un grupo industrial gestionando 3 000 contratos de proveedores al año
Un grupo industrial de tamaño intermedio (ETI), activo en la fabricación de equipos mecánicos, desmaterializa el conjunto de sus contratos con proveedores a través de una plataforma SaaS de firma electrónica. Durante una auditoría interna desencadenada tras una evolución regulatoria, la dirección jurídica constata que el proveedor seleccionado —elegido inicialmente por criterios de precio— no está listado ni en la TSL francesa ni en ninguna TSL europea. Las firmas entregadas son de tipo « simple » sin un mecanismo robusto de identificación del firmante.
Frente al riesgo jurídico —el conjunto de los contratos firmados podría ver su valor probatorio cuestionado en caso de litigio— la empresa inicia una migración hacia un PSCo calificado ANSSI. La nueva solución integra una firma avanzada con certificado calificado, una marca de tiempo calificada y una pista de auditoría exportable. El proyecto de migración, realizado en menos de 8 semanas, permite asegurar retroactivamente los nuevos actos y establecer una política documentaria conforme. Los equipos jurídicos estiman que el riesgo contencioso vinculado a los antiguos contratos permanece marginal debido a su ejecución sin contestación, pero toda nueva firma está ahora cubierta.
Ganancias observadas: reducción del 60 % en litigios potenciales vinculados a la autenticidad de firmas, y ganancia de 3,5 días de tiempo promedio de firma en contratos complejos gracias a la automatización del flujo de validación.
Escenario 2 — Un despacho de abogados de 25 colaboradores especializado en derecho de los negocios
Un despacho de abogados que desea digitalizar la firma de mandatos, consultas y actos de procedimiento evalúa varios proveedores. Su matriz de análisis integra los siguientes criterios: presencia en la TSL, publicación de PC/DPC accesible, existencia de un DPA conforme RGPD, disponibilidad de un DPO contactable y certificación de QSCD distantes.
De cinco proveedores evaluados, solo dos satisfacen el conjunto de criterios. El despacho elige finalmente un PSCo que ofrece nativamente una firma calificada a través de QSCD distante, garantizando la presunción de fiabilidad del artículo 1367 del Código Civil. La implementación toma 3 semanas, incluyendo formación. Resultado: el 75 % de los mandatos son ahora firmados en menos de 24 horas en comparación con 5 a 7 días anteriormente (envío postal), y el despacho puede justificar ante sus clientes el nivel de seguridad jurídica ofrecido por la solución — un argumento diferenciador en sus propuestas comerciales.
Escenario 3 — Un agrupamiento hospitalario de aproximadamente 1 200 camas
Un agrupamiento hospitalario público desea desmaterializar contratos de trabajo, convenciones de prácticas y acuerdos de asociación con establecimientos de cuidados socios. La sensibilidad de los datos tratados (datos de salud del personal sanitario, datos de RH) impone una vigilancia particular sobre las obligaciones RGPD del PSCo.
La DSI y el DPO del establecimiento exigen: alojamiento de los datos en Francia con un proveedor de alojamiento de datos de salud certificado HDS (Hébergeur de Données de Santé, certificación prevista por el artículo L.1111-8 del Código de Salud Pública), ausencia de transferencia fuera del EEE, AIPD documentada para el tratamiento de identificación de firmantes, y DPA firmado antes de cualquier puesta en producción.
Tras seleccionar un PSCo que responde a estos criterios, el despliegue cubre en prioridad los contratos de RH (aproximadamente 800 actos al año). El tiempo promedio de firma de contratos de duración determinada pasa de 9 días a menos de 48 horas, liberando una capacidad significativa para los equipos de recursos humanos. El establecimiento dispone además de una trazabilidad completa de los consentimientos recogidos, auditada anualmente por su DPO.
Conclusión
Las obligaciones legales que pesan sobre los proveedores de firma electrónica en Francia forman un corpus normativo exigente: calificación eIDAS, conformidad RGPD, cumplimiento de normas ETSI, obligaciones NIS2 y adaptación inminente a eIDAS 2.0. Para las empresas usuarias, asegurar la conformidad de su PSCo no es una iniciativa opcional — es una condición sine qua non del valor probatorio de los actos firmados y de la protección de los datos personales de los firmantes.
Certyneo es un proveedor de firma electrónica diseñado para responder al conjunto de estas exigencias: conformidad eIDAS, RGPD by design, alojamiento soberano y roadmap eIDAS 2.0 documentada. ¿Listo para asegurar tus firmas en total conformidad? Solicita una demostración o crea tu cuenta en Certyneo y benefíciate de un acompañamiento personalizado desde el primer día.
Prueba Certyneo gratis
Envía tu primer sobre de firma en menos de 5 minutos. 5 sobres gratuitos al mes, sin tarjeta de crédito.
Profundizar en el tema
Artículos de referencia sobre este tema.
Profundizar en el tema
Nuestras guías completas para dominar la firma electrónica.
Artículos recomendados
Profundice sus conocimientos con estos artículos relacionados.

Gobernanza digital de asociaciones: guía 2026
La gobernanza digital se vuelve imprescindible para las asociaciones que desean modernizar sus procesos de toma de decisiones. Descubra las herramientas, obligaciones legales y estrategias clave para 2026.

Asamblea General Virtual: Guía para asociaciones
La celebración de una asamblea general virtual plantea cuestiones jurídicas precisas para las asociaciones. Descubra cómo asegurar sus resoluciones gracias a la firma electrónica.

Estatutos electrónicos de asociaciones: modificación en 2026
La modificación de los estatutos de una asociación mediante firma electrónica es ahora plenamente reconocida por el derecho francés. Descubre el procedimiento completo y las condiciones de validez.