Obligaciones del proveedor de firma electrónica en Francia

Introducción

En Francia, el mercado de la firma electrónica experimenta un crecimiento sostenido: según un estudio IDC de 2024, más de 4.200 millones de documentos electrónicos se firman cada año en la Unión Europea, con un crecimiento anual del 22 %. Detrás de esta adopción masiva se esconde una realidad jurídica exigente: los proveedores de servicios de confianza (PSC) que ofrecen soluciones de firma electrónica están sometidos a un denso corpus reglamentario, articulado en torno al Reglamento eIDAS, al RGPD y a las normas técnicas de ETSI. Comprender estas obligaciones legales de un proveedor de firma electrónica en Francia es indispensable para cualquier organización que desee elegir una solución conforme y segura. Este artículo descifra el conjunto de requisitos aplicables, desde las condiciones de calificación hasta la gestión de datos personales, pasando por las responsabilidades contractuales.

---

El régimen eIDAS: la piedra angular de las obligaciones del proveedor

El Reglamento europeo nº 910/2014, denominado eIDAS (Electronic Identification, Authentication and Trust Services), constituye el fundamento esencial que enmarca a los proveedores de servicios de confianza en Europa. Aplicable directamente en todos los Estados miembros desde el 1 de julio de 2016, distingue tres niveles de firma electrónica —simple, avanzada y cualificada— e impone obligaciones diferenciadas según el nivel ofrecido.

Calificación y supervisión por la ANSSI

En Francia, es la Agencia Nacional de la Seguridad de los Sistemas de Información (ANSSI) la que actúa como órgano de supervisión en el sentido del artículo 17 de eIDAS. Todo proveedor que desee figurar en la lista de confianza nacional (Trusted Service List - TSL) debe someterse a un riguroso proceso de calificación:

• Auditoría de conformidad realizada por un organismo de evaluación de la conformidad (CAB — Conformity Assessment Body) acreditado por el COFRAC.

• Cumplimiento de las normas ETSI EN 319 401 (requisitos generales para proveedores de servicios de confianza) y ETSI EN 319 411 para autoridades de certificación.

• Renovación periódica de la calificación, con auditoría cada 24 meses como mínimo.

Los proveedores calificados se benefician de una presunción de conformidad y pueden ofrecer firmas electrónicas cualificadas (SEQ), el nivel más elevado, reconocido como equivalente a una firma manuscrita en todos los Estados miembros de la UE.

Obligaciones técnicas y operacionales impuestas por eIDAS

Más allá de la calificación, eIDAS impone a los proveedores un conjunto de obligaciones permanentes:

• Disponibilidad del servicio: el proveedor debe garantizar la continuidad operacional de sus servicios de confianza. El artículo 19 de eIDAS exige la implementación de medidas de seguridad adecuadas a los riesgos, proporcionadas a los requisitos.

• Notificación de incidentes: todo incidente de seguridad que tenga un impacto en la prestación del servicio o en los datos de los usuarios debe ser notificado a la ANSSI en las 24 horas siguientes a su detección.

• Publicación de una política de certificación: el proveedor calificado debe publicar y mantener actualizada su Política de Certificación (PC) y su Declaración de Prácticas de Certificación (DPC), documentos contractuales oponibles a los usuarios.

• Sellado de tiempo electrónico cualificado: cuando el servicio incluye el sellado de tiempo, este debe cumplir la norma ETSI EN 319 421.

---

RGPD y tratamiento de datos personales: una obligación transversal

La firma electrónica necesariamente implica el tratamiento de datos de carácter personal: identidad del firmante, dirección de correo electrónico, datos biométricos en ciertos casos, registros de auditoría. El proveedor está por tanto sometido a las disposiciones del Reglamento General de Protección de Datos (RGPD, nº 2016/679), que entró en aplicación el 25 de mayo de 2018.

Calificación jurídica del proveedor: responsable o encargado del tratamiento

La calificación del papel del proveedor respecto a sus clientes es determinante:

• Encargado del tratamiento (art. 28 RGPD): en la mayoría de los casos, el proveedor trata los datos en nombre de su cliente (la empresa usuaria). Un contrato de encargo del tratamiento conforme al artículo 28 es obligatorio, especificando en particular: la naturaleza y la finalidad del tratamiento, las medidas de seguridad, las obligaciones en caso de violación de datos y las condiciones de devolución o supresión de datos.

• Responsable conjunto: en ciertos casos (por ejemplo, servicio de verificación de identidad compartido), el proveedor puede ser corresponsable del tratamiento, con las obligaciones reforzadas que se derivan (art. 26 RGPD).

Obligaciones concretas en materia de datos personales

• Minimización de datos (art. 5 RGPD): solo los datos estrictamente necesarios para la autenticación y la firma pueden ser recopilados.

• Plazo de conservación: las pruebas de firma (registros de auditoría, certificados) deben conservarse el tiempo necesario para su valor probatorio, generalmente alineado con el plazo de prescripción aplicable (10 años para actos comerciales, 30 años para ciertos actos civiles), siendo posteriormente suprimidas.

• Transferencias fuera de la UE: si los datos se alojan o tratan fuera del Espacio Económico Europeo, el proveedor debe garantizar un nivel de protección adecuado (cláusulas contractuales tipo, decisiones de adecuación). El alojamiento de datos en Francia o Europa constituye un criterio diferenciador importante.

• Registro de actividades de tratamiento: el proveedor debe mantener un registro de los tratamientos realizados en nombre de sus clientes (art. 30 RGPD).

En caso de violación de datos personales, la notificación a la CNIL debe realizarse en 72 horas (art. 33 RGPD), en paralelo a la notificación a la ANSSI en virtud de eIDAS.

---

Obligaciones en materia de seguridad de los sistemas de información

La ciberseguridad está en el centro de las obligaciones de un proveedor de servicios de confianza. Los textos aplicables se han reforzado significativamente en los últimos años.

NIS 2: un nuevo nivel de requisitos

La Directiva NIS 2 (UE 2022/2555), transpuesta al derecho francés por la Ley nº 2024-449 del 21 de mayo de 2024, extiende considerablemente el ámbito de aplicación de las entidades sometidas a obligaciones de ciberseguridad reforzadas. Los proveedores de servicios de confianza calificados según eIDAS ahora se clasifican sistemáticamente como entidades esenciales, sometidas a las obligaciones más estrictas:

• Implementación de una política documentada de gestión de riesgos de ciberseguridad.

• Obligación de notificación de incidentes significativos a la ANSSI (plazos reducidos: alerta temprana en 24 horas, notificación completa en 72 horas).

• Requisitos de seguridad de la cadena de suministro (control de subcontratistas y proveedores).

• Sanciones que pueden alcanzar 10 millones de euros o el 2 % de la cifra de negocios mundial para entidades esenciales.

Normas ETSI y certificaciones complementarias

Los proveedores calificados se apoyan en varias normas ETSI estructurantes:

• ETSI EN 319 132: perfil XAdES para firma XML avanzada.

• ETSI EN 319 122: perfil CAdES para firmas criptográficas avanzadas.

• ETSI EN 319 102: procedimientos de creación y validación de firmas electrónicas.

La certificación ISO/IEC 27001 (sistema de gestión de la seguridad de la información) también es recomendada, incluso exigida en ciertos concursos públicos. Algunos proveedores complementan su disposición con una calificación SecNumCloud de la ANSSI para componentes alojados en la nube.

---

Responsabilidad contractual y obligaciones frente a los usuarios finales

Más allá de las obligaciones regulatorias, el proveedor asume su responsabilidad contractual y a veces extracontractual respecto a las partes que utilizan su servicio.

Garantías de servicio y niveles de disponibilidad

Los SLA (Service Level Agreements) constituyen el marco contractual central. Un proveedor serio se compromete típicamente en:

• Una tasa de disponibilidad anual de al menos el 99,9 % (es decir, menos de 8,7 horas de indisponibilidad por año).

• Plazos de tratamiento garantizados para la creación de certificados cualificados.

• Procedimientos de revocación de certificados operacionales en menos de 24 horas en caso de compromiso.

Transparencia e información de los usuarios

El artículo 13 de eIDAS obliga a los proveedores de servicios de confianza calificados a informar a los usuarios sobre las características y limitaciones de su servicio. Esta obligación se traduce en:

• Publicación de términos y condiciones claros, especificando los niveles de firma ofrecidos y su valor jurídico.

• Información sobre los procedimientos de verificación de identidad implementados (verificación cara a cara, a distancia por vídeo, automatizada).

• Puesta a disposición de herramientas de verificación de firmas permitiendo a cualquier tercero controlar la validez de una firma producida.

Para ir más allá sobre la elección de una solución adaptada a su organización, consulte nuestro contenido que evalúa estos criterios de conformidad en detalle.

La cadena de responsabilidad en caso de litigio

En caso de impugnación del valor probatorio de una firma, la responsabilidad puede repartirse entre varios actores: el proveedor (calidad del certificado, integridad del proceso), el firmante (uso de sus medios de autenticación) y la empresa cliente (configuración del flujo de trabajo de firma). El proveedor calificado se beneficia de una presunción de conformidad técnica, pero sigue siendo responsable de los fallos de sus propios sistemas.

Para las empresas que buscan optimizar la gestión de sus flujos documentales, nuestra guía sobre la gestión de flujos de documentos detalla las mejores prácticas de despliegue.

Marco legal aplicable a los proveedores de firma electrónica

Las obligaciones de los proveedores de firma electrónica en Francia se inscriben en un apilamiento normativo coherente, que combina derecho europeo directamente aplicable y derecho nacional.

Reglamento eIDAS nº 910/2014 (UE) — Texto fundador, define los tres niveles de firma electrónica (simple, avanzada, cualificada), las condiciones de calificación de los proveedores de servicios de confianza, y los efectos jurídicos anejos a cada nivel. Su artículo 25 establece la regla cardinal: «una firma electrónica cualificada tiene un efecto jurídico equivalente al de una firma manuscrita». La revisión eIDAS 2.0, mediante el Reglamento nº 2024/1183, refuerza los requisitos relativos a la cartera de identidad digital europea (EUDIW) y amplía las obligaciones de los proveedores.

Código Civil, artículos 1366 y 1367 — El artículo 1366 reconoce al escrito electrónico la misma fuerza probatoria que al escrito en soporte papel, bajo condiciones de confiabilidad de la identificación del autor e integridad del documento. El artículo 1367 define la firma electrónica como «el uso de un procedimiento fiable de identificación garantizando el vínculo con el acto al que se ata». Estas disposiciones, procedentes de la Ordenanza nº 2016-131 del 10 de febrero de 2016, fundamentan el valor probatorio de las firmas producidas por proveedores conformes.

Decreto nº 2017-1416 del 28 de septiembre de 2017 — Texto de aplicación del artículo 1367 del Código Civil, precisa las condiciones en las que la confiabilidad de un procedimiento de firma electrónica se presume: utilización de una firma electrónica cualificada en el sentido de eIDAS. Instituye una presunción refutable de confiabilidad a favor de los proveedores calificados.

RGPD nº 2016/679 (UE) — Aplicable a todo tratamiento de datos de carácter personal realizado en el marco de la prestación de servicios de firma electrónica. Los artículos 28 (encargo del tratamiento), 32 (seguridad de los tratamientos), 33-34 (notificación de violaciones) y 82-83 (responsabilidad y sanciones) son directamente aplicables. Las multas administrativas pueden alcanzar 20 millones de euros o el 4 % de la cifra de negocios mundial anual.

Directiva NIS 2 (UE) 2022/2555 — Ley nº 2024-449 del 21 de mayo de 2024 — Transpone al derecho francés las obligaciones de ciberseguridad reforzadas para operadores de servicios esenciales y entidades importantes. Los proveedores de servicios de confianza calificados se clasifican como entidades esenciales de pleno derecho, exponiendo a sus dirigentes a sanciones personales en caso de incumplimiento probado.

Normas ETSI de referencia — ETSI EN 319 401 (requisitos generales TSP), ETSI EN 319 411-1 y 411-2 (política de certificación), ETSI EN 319 421 (sellado de tiempo), ETSI EN 319 102-1 (procedimientos de validación), ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES). Estas normas técnicas tienen un alcance cuasinormativo una vez que se citan en decisiones de ejecución de la Comisión Europea publicadas en el DOUE.

Consulta nuestra página para un análisis detallado de estos textos y sus implicaciones prácticas.

Escenarios de uso: obligaciones del proveedor en la práctica

Escenario 1 — Un despacho de abogados de negocios de 30 colaboradores

Un despacho de abogados especializado en derecho corporativo, con una treintena de juristas, busca desmaterializar la firma de sus actos (mandatos, convenios honorarios, actos de cesión de participaciones). Su principal restricción: el valor probatorio de las firmas debe ser irrefutable en caso de litigio.

El despacho exige a su proveedor:

• El suministro de firmas electrónicas cualificadas (SEQ) para los actos más sensibles, con verificación de identidad conforme al Reglamento eIDAS nivel alto.

• Un expediente de prueba completo (registro de auditoría sellado con tiempo, certificado cualificado, huella del documento) conservado durante 30 años conforme a los plazos de prescripción aplicables a actos bajo firma privada.

• Un contrato de encargo del tratamiento RGPD detallado, ya que los datos tratados incluyen información sobre clientes empresas y personas físicas.

Resultado observado en estructuras comparables: reducción del 70 al 80 % de los plazos de firma de mandatos clientes (de 5 a 7 días laborales a menos de 24 horas) y supresión prácticamente total de recordatorios relacionados con firmas faltantes. Para despachos jurídicos, nuestra solución dedicada responde precisamente a estos requisitos.

Escenario 2 — Una PYME industrial que gestiona 300 contratos con proveedores por año

Una empresa manufacturera de tamaño intermedio, con un departamento de compras de 8 personas, firma anualmente aproximadamente 300 contratos con proveedores (condiciones generales de compra, enmiendas, NDA). Hasta ahora utiliza firma manuscrita con digitalización, generando plazos promedio de 12 días y problemas recurrentes de trazabilidad.

Retiene un proveedor calificado eIDAS que ofrece firmas avanzadas con certificado cualificado para sus contratos comerciales corrientes. Las obligaciones clave verificadas durante la selección:

• Certificación ISO 27001 de la infraestructura del proveedor.

• Alojamiento de datos exclusivamente en servidores ubicados en Francia (conformidad RGPD, protección contra mandatos extraterritoriales).

• API de integración con su ERP para automatizar flujos de trabajo de firma.

• SLA garantizando una disponibilidad del 99,95 % y conservación de pruebas de firma durante 10 años.

Tras la implementación, empresas comparables observan en promedio una reducción del 65 % de los plazos de contractualización y una economía anual estimada entre 15.000 y 25.000 euros (impresión, archivo físico, tiempo de gestión). Utiliza nuestra herramienta para estimar tus propias ganancias.

Escenario 3 — Un agrupamiento hospitalario de aproximadamente 1.500 agentes

Un agrupamiento de cooperación sanitaria que desea desmaterializar la firma de contratos de trabajo, enmiendas y formularios de consentimiento de pacientes debe lidiar con requisitos normativos específicos del sector sanitario.

Las obligaciones del proveedor escrutadas:

• Alojamiento de datos de salud en infraestructura HDS (Proveedor de Alojamiento de Datos de Salud acreditado), certificación obligatoria para datos de salud de carácter personal.

• Conformidad con referentes de identidad digital de la ANS (Agencia de lo Digital en Sanidad) para profesionales de la salud.

• Capacidad de gestionar niveles diferenciados de firma: firma simple para formularios administrativos internos, firma avanzada para contratos de trabajo, firma cualificada para ciertos actos regulados.

• Registros de auditoría inviolables y exportables para responder a controles del ARS.

Establecimientos de tamaño comparable reportan ganancias significativas de tratamiento de RR.HH.: reducción del 50 al 60 % del tiempo dedicado a la gestión administrativa de entradas/salidas de personal. Nuestra página dedicada a la firma electrónica en sanidad detalla las especificidades regulatorias de este sector.

Conclusión

Las obligaciones legales que pesan sobre los proveedores de firma electrónica en Francia forman un conjunto coherente pero exigente: calificación eIDAS supervisada por la ANSSI, conformidad RGPD estricta, normas ETSI técnicas, ciberseguridad reforzada por NIS 2 y responsabilidad contractual claramente definida. Para las empresas usuarias, estos requisitos constituyen otros tantos criterios de selección esenciales: un proveedor no calificado o no conforme expone a sus clientes a riesgos jurídicos reales, tanto en materia de valor probatorio de las firmas como de protección de datos personales.

Certyneo es un proveedor de firma electrónica conforme eIDAS, RGPD y NIS 2, con alojamiento de datos en Francia. Para descubrir cómo nuestra solución responde concretamente a estas obligaciones mientras simplifica tus procesos de firma, contáctanos hoy.