Elektroonilise allkirja pakkuja kohustused Prantsusmaal

Sissejuhatus

Elektroonilise allkirja lahenduse juurutamine Prantsusmaal ei ole improvisatsioon. Iga kvalifitseeritud või täiustatud allkirja taga peitub kümneid õiguslikke kohustusi, mis langevad usaldusteenuse pakkuja (PSCo) kohale. eIDAS määrus, GDPR, üldine turvalisuse referentsraamistik, ETSI standardid... regulatiivne raamistik on samaaegselt tihe ja dünaamiline. Kasutavate ettevõtete jaoks on vajalik mõista neid õiguslikke kohustusi, et valida vastavad partnerid ja vältida õiguslikke riske. See artikkel detailselt kirjeldab kõik eIDAS regulatsiooni järgi Prantsusmaal tegutsevate PSCo-de kohaldatavad nõudmised.

---

Kvalifitseeritud usaldusteenuse pakkuja staatus

Mis on PSCo eIDAS mõttes?

Määrus eIDAS nr 910/2014 eristab kahte kategooriat teenuse pakkujaid: mittekvaalifitseeritud usaldusteenuse pakkujad ja kvalifitseeritud pakkujad (PSCQ). Esimesed võivad pakkuda lihtsat või täiustatud elektroonilise allkirja teenust ilma kohustuslikku kolmanda osapoole auditita. Teised — ainult neid, kes on volitatud väljastama eIDAS artikli 3(15) mõistes kvalifitseeritud allkirju — peavad vastama märkimisväärselt rangemate nõuetega.

Prantsusmaal täidab Riiklik infoturbesüsteemide agentuur (ANSSI) järelevalvenõuande rolli (« Supervisory Body »), mis on ette nähtud eIDAS artiklis 17. Ta avalikustab ja säilitab prantsuse usaldusteenus-nimekirja (TSL — Trust Service List), mis on kättesaadav tema ametlikul veebilehel ja loetleb kvalifitseeritud pakkujaid ja nende teenuseid.

Kvalifitseerimismenetlus: audit ja vastavus

PSCo kvalifitseeritud staatuse saamiseks peavad nad kohustuslikult:

• Saada oma teenused auditeeritud COFRAC akrediteeritud vastavustõenduse organite (CAB — Conformity Assessment Body) poolt vastavalt normile EN ISO/IEC 17065.

• Esitada auditiaruanne ANSSI-le, kes otsustab kvalifitseeritud staatuse andmise üle. Seda staatust hinnatakse uuesti vähemalt 24 kuud järgmisi kordi (eIDAS artikkel 20 §1).

• Teavitada ANSSI-t mis tahes olulisest muudatusest oma teenustes kolme kuu jooksul enne kavandatud muudatust (eIDAS artikkel 21).

Nende sammude mittejärgimise tulemusel kaotab teenuse pakkuja TSL-ist eemaldamise ja juriidilised eeldused, mis on seotud kvalifitseeritud allkirjaga. Klientidele tähendab mitteTSL-l loetletud PSCo kasutamine seda, et nad ei saa kasu ühelgi juriidilisel usaldusväärsuse eeldustest.

> Lisateavet eri allkirja tasemete ja nende õiguslike mõjude kohta leiate meie artiklist.

---

PSCo-dele seatud tehnilised ja turvalisuse kohustused

ETSI standardite järgimine

Kvalifitseeritud pakkujad peavad vastama Euroopa sidetehnika standardiorganisatsiooni (ETSI) poolt avaldatud Euroopa standardite kogumile. Peamised neist on:

• ETSI EN 319 401: üldised turvalisuse nõudmised kõigile PSCo-dele.

• ETSI EN 319 411-1 ja 411-2: kvalifitseeritud allkirja sertifikaate väljastava sertifitseerimiskeskuse poliitika ja praktika.

• ETSI EN 319 132: täiustatud elektroonilise allkirja formaadid (XAdES XML-ile, PAdES PDF-ile, CAdES CMS-ile).

• ETSI EN 319 122: CAdES formaat kvalifitseeritud allkirjadele.

• ETSI TS 119 431: nõudmised distantsse allkirja loomise teenusele (QSCD distant).

Need standardid ei ole valikulised: eIDAS määrus (Lisad II, III ja IV) neid selgesõnaliselt esitab kvalifitseeritud sertifikaatide ja allkirja loomise seadmete miinimuminatonduste määratlemiseks.

Kvalifitseeritud allkirja loomise seadmete (QSCD) haldamine

Üheks kvalifitseeritud allkirja tugisammaseks on eIDAS lisa II-ga vastavustingiva kvalifitseeritud allkirja loomise seadme (QSCD) kasutamine. Teenuse pakkuja peab tagama, et:

• Allkirjastaja privaatne võti ei saa luua, salvestada ega kopeerida väljaspool QSCD.

• Võtme genereerimine toimub üksnes sertifitseeritud keskkonnas (Common Criteria sertifikat EAL 4+ või samaväärne).

• Allkirjastaja autentimine enne mis tahes allkirja antamist põhineb vähemalt kahel autentimisteguril.

Distantse allkirja kontekstis — mis on üha levinum SaaS-keskkonnas — kehtivad need nõudmised privaatvõtmeid majutavale HSM (Hardware Security Module) serverile. ANSSI avaldas konkreetsed kaitseprofiiili (PP-0075, PP-0076), mis määratlevad jõutavad turvalisuse kriteeriumid.

Järjepidevuse poliitika ja intsidentide teatamise kohustus

eIDAS artikkel 19 paneb igale usaldusteenuse pakkujale (kvalifitseeritud või mitte) kohustuse:

• Teatada järelevalve- (ANSSI) ja vajaduse korral andmekaitseasutusele (CNIL) 24 tunni jooksul pärast turvalisuse rikkumise avastamist, mis võib mõjutada teenuse usaldusväärsust.

• Käikoja järjepidevuse plaan dokumenteeritud ja regulaarselt testitud.

• Teabe turvalisuse poliitika, mis hõlmab riskihaldust, intsidentide haldust ja varukoopiate poliitikat.

Need nõudmised kattuvad osaliselt NIS2 direktiiviga (2022/2555/EL), mis transponeeriti prantsuse õigusesse seadusega nr 2023-703 1. augustil 2023, mis klassifitseerib märkimisväärse suurusega PSCo-d oluliste või olulistena üldiselt tähtsa küberjulgeoleku kohustusega üksustena.

> Avastage, kuidas DMS-lahendused peavad neid piiranguid integreerima oma dokumentide töövoogu.

---

GDPR-spetsiifilised kohustused PSCo-dele

PSCo, andmete vastutav või töödeleja?

Teenuse pakkuja GDPR-järgsus sõltub pakutava teenuse olemusest:

• Kui PSCo väljastab otseselt allkirjastajale kvalifitseeritud sertifikaate ja määrab isikuandmete töötlemise eesmärgid (isik, autentimise biomeetrilised andmed), tegutseb ta andmete vastutavana GDPR artikli 4(7) mõttes.

• Kui ta integreerib oma API kliendi B2B-platvormi ja töötleb isikuandmeid üksnes selle kliendi juhiste kohaselt, omab ta andmete töötleja kvaliteeti (GDPR artikkel 4(8)) ja peab kohustuslikult sõlmima GDPR artikli 28-ga vastavuse DPA (Data Processing Agreement).

Praktikas omavad enamik SaaS PSCo-sid mõlemat kvaliteeti: vastutava rollina oma sertifikatsiooni infrastruktuuri juhtimises, töödeleja rollina allkirjastajate dokumentide ja metaandmete töötlemisel.

Konkreetsed kohustused biomeetriliste ja identiteetiandmete osas

Allkirjastaja identifitseerimine ja autentimine — samm, mis on kohustuslik kvalifitseeritud sertifikaadi väljastamiseks — hõlmab sageli tundlike andmete töötlemist: ID pilt, videoselfie, näo tuvastamise biomeetrilised andmed. Need andmed on isikuandmed, mis kuuluvad GDPR raamistikku, või biomeetrilised andmed, mis jäävad GDPR artikli 9 ulatus (eriomased kategooriad).

PSCo kohustused hõlmavad:

• Õiguslik alus: selge nõusolek (artikkel 9§2a) või mõnel juhul õigusliku kohustuse (artikkel 9§2b) biomeetriliste andmete töötlemisel.

• Säilitamise kestus piiratud: CNIL juhiste kohaselt peavad identifikatsioonandmeid säilitama rangelt vajaliku aja jooksul, tavaliselt seotud sertifikaadi kehtivusajaga + tõendi seaduseline säilitamiskestus (sageli 10 aastat privaatsetel tehingul, Tsiviilseadustiku artikkel 2224).

• Mõju analüüs (AIPD) kohustuslik (artikkel 35 GDPR) alati, kui töötlemine võib põhjustada kõrget riski — mis on süstemaatiline biomeeria puhul.

• Andmetöötluste register (artikkel 30 GDPR) ajakohasena peetud ja dokumenteerinud iga andmetöötluse kategooriat.

Rahvusvahelised andmete ülekanded

Paljud PSCo-d majutavad osa või kõik oma infrastruktuuri väljaspool Euroopa Majanduspiirkonda (EMP). Sel juhul kehtivad GDPR V peatüki nõutavad asjakohasest garantiid: adekvaatsusotsus, Euroopa Komisjoni standardsed lepingulised klauslid (SCCs) või köitevad ettevõtte reeglid (BCR). Schrems II otsus (EKo, C-311/18, 16. juuli 2020) meenutas, et USA ülekanded nõuavad enne analüüsi.

> Nende reeglite mõju teie organisatsioonile mõistmiseks vaadake meie artiklit.

---

Läbipaistevuse ja teavitamise kohustused kasutajate ees

Sertifikaadi poliitika (PC) ja sertifikaatimispraktika deklaratsioon (DPC)

Igal sertifikaate väljastavel PSCo-l on kohustus avaldada Sertifikaadi Poliitika (PC) ja Sertifikaatimispraktika Deklaratsioon (DPC) vastavalt ETSI EN 319 411 standardile. Need dokumendid, vabalt ligipääsetavad, detailselt:

• Menetlused allkirjastajate identifitseerimiseks ja registreerimiseks.

• Füüsilise ja loogilise turvalisuse meetmed.

• Sertifikaatide tühistamise tingimused ja seotud tähtajad.

• PSCo vastutus ja garantiide piirangud.

Nende dokumentide puudumine või mittetäielikkus on mittevastavus, mida organisatsioon võib tuvastada ANSSI auditi käigus.

Kliendi eelne ja lepinguline teave

GDPR artikli 13 nõudmiste lisaks peab PSCo igale isikule, kelle andmeid kogutakse, pakkuma selget ja kättesaadavat teaot:

• Andmete vastutava isiku isikud ja andmekaitseohvitseri kontaktid (kohustuslik PSCo jaoks, kes töötlevad suures mahus tundlikke andmeid, artikkel 37 GDPR).

• Iga töötlemise eesmärgid ja õiguslikud alused.

• Isikute õigused (juurdepääs, parandamine, kustutamine, teisaldatavus, vastuseismine).

• Võimalikud andmete saajad (töötelejad, ametiasutused).

See teave peab sisalduma teenuse privaatsuspoliitika, kasutustingimuste ja vajaduse korral kliendiga sõlmitud DPA-s.

Kvalifitseeritud ajaline märgistamine ja audit trail

Allkirjade pikaajalist tõendiväärtust tagamaks seovad hoolikad PSCo-d süstemaatiliselt iga allkirjaga kvalifitseeritud elektrooniline ajaline märgistus (eIDAS artikkel 42). See märgistus on seaduslikult presitseeritud tõend andmete olemasolu kohta märgitud ajal. Auditi jälje (identifitseerimise logid, dokumendi räsi, allkirja andmed) konserveermine on faktiliselt kohustus mis tahes hilisemaks kohtuperuamiseks.

> Võrrelge turuolevaid lahendusi nende kriteeriumide põhjal meie artiklites.

---

eIDAS 2.0: uued kohustused ees 2026-2027. a

eIDAS 2.0 määrus (EL) 2024/1183

Avaldatud EL-i ametlikus lehes 30. aprillil 2024, määrus (EL) 2024/1183 nimega « eIDAS 2.0 » tugevdab märkimisväärselt PSCo kohustusi kolme suuna ümber:

• Euroopa Digitaalse Isiksuletõendi Rahakott (EUDI Wallet): liikmesriigid peavad pakkuma sertifitseeritud digitaalse identiteedi rahakotti 2. novembriks 2026. PSCo-d peavad integrama oma teenuse selle rahakotiga, et pakkuda kvalifitseeritud allkirju eIDAS 2.0 identiteedi kaudu.

• Tunnistuste haldamine: eIDAS 2.0 tutvustab kvalifitseeritud atribuudi tunnistusi (QEAAs), mille väljastab kvalifitseeritud tunnistuse pakkuja. Rakenduvad uued audit- ja kvalifitseerimismenetlused.

• Järelevalve tugevdamine: riiklike järelevalve-asutuste (Prantsusmaal ANSSI) volitused laiendatakse, sealhulgas ulatusetu auditite ja panevate parandusabinõude võimalus lühema tähtajaga.

Praktilised rakendused praegustele pakkujatele

eIDAS 1.0 järgi juba kvalifitseeritud PSCo-d peavad järk-järgult kohanema enne Komisjoni täitmisaktide määratud tähtaegu (avaldatud või avaldamisel). Peamised kohandused puudutavad:

• Identifitseerimise infrastruktuuri ümberkujundamine EUDI Wallet autentimise vahendina toetamiseks.

• PC/DPC-i uuendamine uute sertifikaadi ja tunnistuse tüüpide kaasamiseks.

• QSCD distantsi turvalisuse nõuete tugevdamine uute kaitseprofiilidega.

Klientide jaoks tähendab see praegu kontrollida, et nende teenuse pakkujal on dokumenteeritud ja verifitseeritav eIDAS 2.0 vastavuse teekond.

Elektroonilise allkirja teenuse pakkujate kohustuste õigusraamistik

Prantsusmaal tegutsevate elektroonilise allkirja teenuse pakkujate kohaldatava normatiivne kaskad artikuleerub mitme hierarhilise tasanud kohaselt.

Prantsuse tsiviilkoodeks — artiklid 1366 ja 1367

Tsiviilkoodeksi artikkel 1366 tunnustab elektroonilise kirja tõendusena kehtiva paberkiri moodus, tingimusel et « on võimalik gehüüsega tuvastada selle päritolu ja see on kehtestatud ning säilitatud viisil, mis tagab selle terviklikkuse ». Artikkel 1367 täpsustab, et elektroonilise allkirja « koosneb usaldusväärse identifitseerimismeetme kasutamisest, mis garanteerib selle seose akti-ga, millele see on kinnitatud ». Usaldusväärsuse eeldus kehtib eIDAS mõttes kvalifitseeritud allkirjadele, pöördes tõendusbakendi kanda allkirjastaja kasuks.

Määrus eIDAS nr 910/2014/EL

See määrus, mille otse rakendamine kehtib kõigis liikmesriikides, loob usaldusteenuse õigusraamistiku. Selle artikkel 26 määratleb täiustatud elektroonilise allkirja tingimused; artikkel 28 kvalifitseeritud sertifikaatide nõudmised; lisa I kirjeldab nende sertifikaatide kohustuslikku sisu. Kvalifitseeritud PSCo-d kasutavad määruse tehnilistele ja õiguslikele nõudmistele vastavuse eeldust (artikkel 19§2), mis on vaidluse korral suur eelis.

eIDAS 2.0 määrus — (EL) 2024/1183

Avaldatud 30. aprillil 2024, see muuteva määruse teel tutvustati uusi usaldusteenuse kategooriaid (kvalifitseeritud atribuudi tunnistused, kvalifitseeritud arhiiviteenused) ja tugevdatakse järelevalve-kohustusi. See tühistab ja asendab osaliselt määruse 910/2014, rakendades järk-järgult Komisjoni täitmisaktide kohaselt.

GDPR — määrus (EL) 2016/679

GDPR rakendub igale isikuandmete töötlemisele elektroonilise allkirja teenuse raamistikus. Artikli 5 (litsentseerimise põhimõtted), 6 (õiguslik alus), 9 (tundlikud andmed), 13-14 (teave), 28 (tööleanne), 32 (turvalisus), 33-34 (rikkumise teatamine), 35 (AIPD) ja 37 (DPO) moodustavad kõige sagedamini rakenduvad sätetused. CNIL on pädeva kontrolliorganina Prantsusmaal ja võib määrata trahve kuni 20 miljoni euro või 4% globaalsest aastakäibest (artikkel 83§5 GDPR).

Direktiiv NIS2 — (EL) 2022/2555

NIS2 transponeeriti prantsuse õigusesse seadusega nr 2023-703 1. augustil 2023, klassifitseerib märkimisväärse suurusega PSCo-d oluliste või olulistena kohustusega küberjulgeoleku riskide haldamisel ja intsidentide teatamisel ANSSI-le 24 tunni (varajane teade) ja seejärel 72 tunni jooksul (täielik teade).

ETSI standardid

EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ja TS 119 431 moodustavad kvalifitseerimisauditi kohustusliku technilise viite. Nende mittejärgimise korral on võimatu saada või säilitada kvalifitseeritud staatust.

Õiguslikud riskid mittevastavuse korral

Mittestandardne teenuse pakkuja seisab silmitsi: TSL-st eemaldamisega, lepingulist ja lepinguvälise vastutust, CNIL-i administratiivsed sanktsioonid, NIS2 trahvid, mis võivad jõuda 10 miljoni euroni või 2% maailma käibest oluliste üksuste jaoks ning 20 miljonit eurot või 4% oluliste üksuste jaoks, samuti klientide poolt esitatud hagi, kes on allkirju häiremenetluste tõttu kannatanut.

Kasutamise stsenaariumid: kuidas ettevõtted kontrollisid PSCo-d järele

1. stsenaarium — Tootmisgrupid, mis haldustavad 3 000 tarnija lepingut aastas

Keskmise suurusega (ETI) tootmisgruppi, mis tegutseb mehhaniliste seadmete valmistamisel, dematerialiseerib kõik tarnija lepingud SaaS-i elektroonilise allkirja platvormi kaudu. Sisemise auditi käigus, mis käivitati pärast regulatiivset muutust, tuvastab õiguslik juhtkond, et valitud teenuse pakkuja — esialgu valitud hinnakriteeriume kasutades — ei ole märgitud TSL-l Prantsusmaal ega üheski Euroopa TSL-s. Väljastatud allkirjad on « lihtsa » tüüpiga ilma tugeva allkirjastaja tuvastameta.

Õigusliku riski ees — kõigi lepingute märkamine võib näha nende sõltuvuse vaidlustamist — migreerib ettevõte PSCo-le ANSSI kvalifitseeritud. Uus lahendus integralyeerib täiustatud allkirja kvalifitseeritud sertifikaadiga, kvalifitseeritud ajaaja märgistuse ja eksportitavat audit trail. Migratsioon, koostöös teostatud vähem kui 8 nädal, võimaldab riskialt tagantjärele kaitsta uusi tehinguid ja luua konformistlikku dokumendistamise poliitikat. Õigusliku meeskonna hinnangul jääb riski vanaimate lepingute sisust seotud contentiious marginaaliks nende kontestimiseta arengust, kuid iga uus allkirja on praegu kaetud.

Vaatletud tulemused: 60% vähenemine allkirja autentsusega seotud potentsiaalsete vaidlustes ja 3,5 päeva keskmise allkirjastamise viivituse vähenemine keerukate lepingute puhul tänu töövoo automatiseerimisele.

2. stsenaarium — 25 koostöötajad õigusbüroo spetsialiseerus äri õigusel

Õigusbüroo, kes soovib digi allkirjastada käsukirjad, konsulteerida ja pretsedentid hindab mitut teenuse pakkujat. Tema hindamise võrk sisaldab: TSL-l olemasolu, avaldatud PC/DPC kättesaadavus, GDPR vastusega DPA olemasolu, DPO kättesaadavus ja QSCD distantsi sertifitseerimine.

Viiest hinnatavast teenuse pakkujast vastab nõudmistele vaid kaks. Büroo valib lõpuks PSCo, mis pakub natiivset kvalifitseeritud allkirja QSCD distantsi kaudu, tagades kodeksi artikli 1367 kasutama usalduse eelduse. Juurutamine võtab 3 nädal, koolitus kaasas. Tulemus: 75% käskkirjadest allkirjastatakse nüüd vähem kui 24 tunni jooksul vs 5-7 päevat varem (postikiri) ja büroo saab justifitseerida oma klientidele lahenduse pakutavat õigusliku turvalisuse taset — diferentseeriivne argument oma äriallikupropostaalsetes.

3. stsenaarium — umbes 1 200 voodiga haiglate grupeerumine

Haiglate publik Grupp soovib digi lepingute töö, staažideasutused ja partnerlembused tervishoiu asutustega. Terviseandmete (meditsiiniliste andmete töötajad, HR andmete) tulistavast andmete tundest nõutab tähelepanu PSCo GDPR kohustustele.

IT-direkuur ja andmekaitseohvitser nõuavad: andmete majutust Prantsusmaal tervisandmete majutusel sertifitseeritud HDS (Hébergeur de Données de Santé, tervishoiuseadustiku artikli L.1111-8 alusel), ühtegi edastamist väljaspool EMP-d, dokumenteeritud AIPD allkirjastajate tuvastamise töötlemisele ja DPA allkirjastatud enne tootmisele.

Pärast PSCo valikut, mis vastab nendele kriteeriumitele, katvad juurutamise prioritaarsed HR lepingud (ligikaudu 800 akti aastas). Lepingute allkirjastamise keskmine tähtaeg määratud kestusega läheb 9 päevast vähem kui 48 tunnisse, vabastades märkimisväärse võimsuse HR-meeskondade jaoks. Asutus on oma täieliku jäljetugevuse nõusolekute jaoks, mille auditeerimine aasta lõpuks andmekaitseohvitseri poolt.

Järeldus

Prantsusmaal elektrooniliste allkirja teenuse pakkujatele langevad õiguslikud kohustused moodustavad nõudva normatiivse kogumi: eIDAS kvalifikatsioon, GDPR vastavus, ETSI standardite järgimine, NIS2 kohustused ja eIDAS 2.0-le kohanemine. Kasutavate ettevõtete jaoks on oma PSCo vastavus kontrollida mittevaljaline protsess — see on allkirjastavate aktide tõendiväärsuse ja allkirjastajate isikuandmete kaitse tingimuslik nõue.

Certyneo on elektroonilise allkirja teenuse pakkuja, mis on disainitud vastata kõigile nendele nõudmistele: eIDAS vastavus, GDPR disaini alusel, suveräänse majutuse ja dokumenteeritud eIDAS 2.0 teekonna. Valmis oma allkirjad täies vastavuses turvaliseks tegema? Kontaktiga meid ja saate personaalse juhendusohvitsetuse juba esimesest päevast.