Elektroonilise allkirja pakkuja kohustused Prantsusmaal

Sissejuhatus

Elektroonilise allkirja lahenduse juurutamine Prantsusmaal pole improviseerimine. Iga kvalifitseeritud või täiustatud allkirja taga peitub kümneid õiguslikke kohustusi, mis langevad usalduseteenuste pakkuja (PSCo) õlgadele. eIDAS määrus, RGPD, üldine turvalisuse võrdlusmärk, ETSI standardid... regulatiivne raamistik on nii tihe kui ka muutuv. Kasutajaettevõtetele on ülimalt tähtis mõista neid õiguslikke kohustusi Prantsusmaal elektroonilise allkirja pakkujate eIDAS RGPD suhtes, et valida nõuetele vastav partner ja vältida igasuguseid õigusriske. See artikkel detailiseerib jaotiste kaupa kõik nõuded, mis kehtivad Prantsuse territooriumil tegutsevate PSCo kohta.

---

Kvalifitseeritud usalduseteenuste pakkuja staatus

Mis on PSCo eIDAS tähenduses?

Määrus eIDAS nr 910/2014 eristab kahte pakkujate kategooriat: mittequalifikatsiooniga usalduseteenuste pakkujad ja kvalifitseeritud pakkujad (PSCQ). Esimesed võivad pakkuda lihtsat või täiustatud elektroonilise allkirja teenuseid ilma kohustusliku kolmanda osapoole auditita. Teised — ainult kvalifitseeritud allkirjaste andmiseks volitatud pakkujad eIDAS artikli 3(15) tähenduses — peavad täitma märkimisväärselt rangemaid nõudmisi.

Prantsusmaal täidab Agence nationale de la sécurité des systèmes d'information (ANSSI) eIDAS artiklis 17 nimetatud järelevalveasutuse („Supervisory Body") rolli. See avaldab ja ajakohaustab Prantsuse usaldusloendit (TSL — Trust Service List), mis on kättesaadav tema ametlikul veebisaidil ja loetleb kvalifitseeritud pakkujaid ning nende teenuseid.

Kvalifikatsiooniprotsess: audit ja vastavus

Qualifikatsioonistatud staatuse saamiseks peab PSCo tingimata:

• Auditeerima oma teenuseid COFRAC-i poolt akrediteeritud vastavushinnangute asutuse (CAB — Conformity Assessment Body) poolt vastavalt standardile EN ISO/IEC 17065.

• Esitama ANSSI-le auditiparendit, kes otsustab kvalifitseeritud staatuse andmise üle. Seda staatust hinnatakse uuesti vähemalt iga 24 kuu järel (eIDAS artikkel 20 §1).

• Teatama ANSSI-le igasugusest oma teenustes toimuvast sisulisest muudatusest vähemalt 3 kuud enne kavandatud muudatuse jõustumist (eIDAS artikkel 21).

Nende sammude täitmata jätmine paneb pakkuja silmitsi TSL-ist eemaldamisega ja kvalifitseeritud allkirjaga seotud seaduslike oletuste kaotamisega. Klientfirmaade jaoks tähendab mitte-TSL-is loetletud PSCo kasutamine, et nad ei saa kasu ühestki seadusliku usaldusväärsuse oletusest.

> Edasiste teadmiste saamiseks erinevate allkirjade tasemete ja nende õiguslikest mõjudest lugege meie eIDAS 2.0 määruse täielikku juhendit.

---

Pakkujatele kehtestatud tehnilised ja turvalisuse kohustused

ETSI standarditele vastavuse kohustus

Kvalifitseeritud pakkujad peavad täitma European Telecommunications Standards Institute (ETSI) avaldatud Euroopa standardite kogumit. Peamised on:

• ETSI EN 319 401: üldised turvalisuse nõuded, mis kehtivad kõigile PSCo-dele.

• ETSI EN 319 411-1 ja 411-2: kvalifitseeritud allkirja sertifikaate väljastava sertifikaadiriigihariduse poliitika ja praktika.

• ETSI EN 319 132: täiustatud elektroonilise allkirja vormingud (XAdES XML-ile, PAdES PDF-ile, CAdES CMS-ile).

• ETSI EN 319 122: CAdES vorming kvalifitseeritud allkirjadele.

• ETSI TS 119 431: nõuded kaugjuhitud allkirja loomise teenustele (QSCD kauguselt).

Need standardid ei ole valikulised: eIDAS määrus (Lisad II, III ja IV) viitab neile selgesõnaliselt, et määratleda kvalifitseeritud sertifikaatide ja allkirja loomise seadmete miinimumnõuded.

Kvalifitseeritud allkirja loomise seadmete (QSCD) haldamine

Üheks kvalifitseeritud allkirja tugisambaks on eIDAS lisa II-le vastava kvalifitseeritud allkirja loomise seadme (QSCD) kasutamine. Pakkuja peab tagama, et:

• Allkirjastaja privaatvõti ei saa genereerida, salvestada ega kopeerida väljaspool QSCD-d.

• Võtme genereerimine toimub ainult sertifitseeritud keskkonnas (Common Criteria EAL 4+ sertifikatsioon või samaväärne).

• Allkirjastaja autentimine enne mis tahes allkirja andmist toetub vähemalt kahele autentimistegurite kombinatsioonile.

Kaugjuhitud allkirja kontekstis — mis on üha levinumaks muutuv SaaS keskkondades — kehtivad need nõuded serverit HSM (Hardware Security Module) võtmete hostimiseks. ANSSI on avaldanud spetsiifilised kaitseprofiiid (PP-0075, PP-0076), mis määravad saavutatavad turvalisuse kriteeriumid.

Järjepidevuse poliitika ja juhtude teatamise kohustus

eIDAS artikkel 19 nõuab igalt usalduseteenuste pakkujalt (kas kvalifitseeritud või mitte):

• Teatama järelevalveasutusele (ANSSI) ja vajadusel andmekaitse asutusele (CNIL) 24 tunni jooksul pärast turvahäire avastamist, mis võib mõjutada teenuse usaldusväärsust.

• Hoidma dokumenteeritud ja regulaarselt testitud äri-jätkamise plaan.

• Olema informatsiooni turvalisuse poliitikaga, mis hõlmab eelkõige riskihaldust, intsidentide juhtimist ja varukoopiate poliitikat.

Need kohustused kattuvad osaliselt NIS2 direktiiviga (2022/2555/UE), mis transponeeriti Prantsuse õigusesse seadusega nr 2023-703 (1. august 2023), klassifitseerides märkimisväärse suurusega PSCo-d tähtsate või kriitiliste üksustena, mis on allutatud tugevdatud küberturvalisuse kohustustele.

> Avastage, kuidas allkirjastamise lahendused juriidilistele kabinetitele peavad neid piiranguid oma dokumendivahetuse protsessidesse integreerima.

---

PSCo-dele kohaldatavad RGPD kohustused

PSCo on andmetöötluse vastutav isik või alampakkuja?

PSCo kvalifitseering RGPD-l sõltub osutatud teenuse olemusest:

• Kui PSCo väljastab otse kvalifitseeritud sertifikaate allkirjastaja nimel ja määrab andmete töötlemise eesmärgid (identiteet, autentimine biomeetriliste andmete), tegutseb ta andmetöötluse vastutava isikuna RGPD artikli 4(7) tähenduses.

• Kui ta integreerib oma API kliendi B2B platvormi ja töötleb isikuandmeid ainult selle kliendi juhiste järgi, kannab ta alampakkuja kvaliteeti (artikkel 4(8)) ja peab kohustuslikult sõlmima DPA (Data Processing Agreement), mis vastab RGPD artiklile 28.

Praktikas liidavad enamikud SaaS PSCo-d need kaks rolli: vastutav oma sertifikaadi infrastruktuuri halduses, alampakkuja allkirjastajate dokumentide ja metaandmete töötlemises.

Kohustused biometriliste ja identiteediandmete seostes

Allkirjastaja identifitseerimine ja autentimine — nõutav samm kvalifitseeritud sertifikaadi väljastamiseks — hõlmab sageli tundlike andmete töötlemist: isikutunnistuse skann, selfie video, näo tuvastamise biomeetrilised andmed. Need andmed on isikuandmed, mis on RGPD alusel ja isegi biomeetrilised andmed RGPD artikli 9 jaoks (eriline kategooria).

PSCo kohustused sisaldavad:

• Õiguslik alus: selge nõusoleku andmine (artikkel 9§2a) või teatud juhtudel õiguslik kohustus (artikkel 9§2b) biometriliste andmete töötlemiseks.

• Säilitamise kestus on piiratud: CNIL juhiste kohaselt tuleb identiteediandmeid säilitada ainult niivõrd kauaks, kui see on vajalik, tavaliselt sertifikaadi kehtivuse periood + seadusliku tõendusperioodi kestus (sageli 10 aastat rahavahetuskohale mahakujutatud dokumentide puhul, Code civil artikkel 2224).

• Mõju analüüs (AIPD) on kohustuslik (artikkel 35), kui töötlus võib endas kaasa tuua kõrge riskiastme — mis on alati biomeetria puhul.

• Andmetöötluste register (artikkel 30) hoitakse ajakohastatud ja dokumenteeritakse iga töötlemise kategooria.

Andmete rahvusvahelised ülekandmised

Paljud PSCo-d paigutavad kogu või osa infrastruktuuri väljaspool Euroopa Majanduspiirkonda (EMP). Sel juhul kehtivad RGPD peatükis V nõutavad asjakohased garantiid: komisjoni adekvaatsuse otsus, Euroopa Komisjoni standard lepingulised klauslid (SCCs) või siduvad ettevõte reeglid (BCR). Lahend Schrems II (EIDK, C-311/18, 16. juuli 2020) tuletab meelde, et andmete ülekandmine USA-sse nõuab eelnevat riigiriska analüüsi.

> Nende reeglite mõistmiseks oma organisatsioonis lugege meie juhendit ettevõttes elektroonilisest allkirjast.

---

Läbipaistvuse ja kasutajate teavitamise kohustused

Sertifikaatide poliitika (PC) ja sertifikaatide tavasid kirjeldav deklaratsioon (DPC)

Iga sertifikaate väljastav PSCo on kohustatud avaldama Sertifikaatide Politiika (PC) ja Sertifikaatide Tavasid Kirjeldava Deklaratsiooni (DPC), vastavalt standardile ETSI EN 319 411. Need avalikult kättesaadavad dokumendid esitavad:

• Allkirjastajate identifitseerimis- ja registreerimismenetlused.

• Kasutusel olevad füüsilise ja loogika turvalisuse meetmed.

• Sertifikaatide tühistamise tingimused ja seotud tähtajad.

• PSCo vastutus ja garantii piirangud.

Nende dokumentide puudumine või mittetäielikkus moodustab mittevastavuse, mida võib avastada akrediteeritud asutuse auditite ajal.

Enne lepingut sõlmimist teabe ja müügilepingud klientidega

Lisaks puhtalt tehnilistele kohustustele nõuab RGPD artikkel 13 PSCo-lt, et ta annaks igale isikule, kelle andmeid kogutakse, selge ja juurdepääsetava teabe järgmiselt:

• Andmetöötluse vastutava isiku identiteet ja DPO kontaktandmed (kohustuslik PSCo-dele, kes töötlevad suurtes mahus tundlikke andmeid, artikkel 37).

• Iga töötlemise eesmärgid ja õiguslikud alused.

• Isikute õigused (juurdepääs, parandamine, kustutamine, ülekandmine, vastuprotest).

• Võimalikud andmete vastuvõtjad (alampakkujad, asutused).

Need teated peavad olema kaasatud teenuse privaatsuspoliitikasse, kasutamistingimustesse ja vajadusel kliendi DPA-sse.

Kvalifitseeritud ajatempel ja audit trail

Allkirjade pikaajalist tõestusväärtu tagamaks seovad head PSCo-d alati kvalifitseeritud elektroonilise ajatempliga (artikkel 42) iga allkirjaastumisega. See ajatempel on seadusega eeldavalt tõendus andmete olemasolust määratud kuupäeval. Audittrajektoori (identifitseerimislogid, dokumendi räsi, allkirjaandmed) säilitamine on faktiliselt kohustuslik, et võimaldada hiljem kohtulikku kontrollimist.

> Võrrelge turul olevaid lahendusi nende kriteeriumide põhjal meie elektroonilise allkirja lahenduste võrdluses.

---

eIDAS 2.0: uued kohustused silmapiiral 2026-2027

eIDAS 2.0 määrus (EL) 2024/1183

Avaldatud EL ametlikus lehes 30. aprillil 2024, määrus (EL) 2024/1183 nimetatud "eIDAS 2.0" tugevdab oluliselt PSCo kohustusi kolme telje ümber:

• Euroopa Numbriline Identiteedi Rahakott (EUDI Wallet): liikmesriigid peavad hankima sertifitseeritud digitaalse identiteetse rahakoti 2. novembriks 2026. PSCo peavad integreerima oma teenuse selle rahakotiga, et pakkuda kvalifitseeritud allkirju eIDAS 2.0 kaudu.

• Atribuutide tunnistuste haldamine: eIDAS 2.0 tutvustab kvalifitseeritud atribuutide tunnistusi (QEAAs), mille väljastamiseks on kvalifitseeritud pakkujad. Kehtivad uued audit- ja kvalifikatsiooni protseduurid.

• Järelevalve tugevdamine: rahvuslikud järelevalveorganid (ANSSI Prantsusmaal) saavad laiendatud volitused, eelkõige võime viia läbi ootamata auditid ja rakendada kohustuslikke parandavaid meetmeid lühendatud tähtaegadega.

Praktiline mõju praegustele pakkujatele

PSCo-d, kes on juba kvalifitseeritud eIDAS 1.0 alusel, peavad läbitoimama järkjärguline vastavusühendamine enne Commission Europeenne poolt määratud tähtaega (avaldatud või avaldamisel). Peamised muudatused puudutavad:

• Identifitseerimise infrastruktuuri ümberkujundamist EUDI Wallet-i toetamiseks autentimisvahendina.

• PC/DPC uuendamist uute sertifikaadi ja tunnistuse tüüpide kaasamiseks.

• QSCD kauguselt turvalisuse nõuete tugevdamist uute kaitseprofiilidega.

Kasutajaettevõtetele tähendab see juba täna kontrollida, et nende pakkujal oleks dokumenteeritud ja verifitseeritav eIDAS 2.0 vastavuse arengukaart.

Prantsusmaale kohaldatavate elektroonilise allkirja pakkujate kohustuste õiguslik raamistik

Prantsusmaale tegutsevate elektroonilise allkirja pakkujatele kohaldatav normatiivne ahel ulatub mitmete hierarhiliste täiendavate tasemeteni.

Prantsuse Code civil — artiklid 1366 ja 1367

Code civil artikkel 1366 tunnustab elektroonilise dokumenti tõendavahendina paberidokumendiga samaväärse, tingimusel et "saab nõuetekohaselt tuvastada isiku, kellelt see pärineb ja ta on paigutatud ja säilitatud tingimustes, mis tagavad selle terviklikkuse". Artikkel 1367 täpsustab, et elektrooniliste allkirjade "kasutusel peavad olema usaldusväärsed isikutuvastamise vahendid, mis tagavad selle suhte dokumendiga, millele see rakendub". Usaldusväärsuse oletuse saavad kvalifitseeritud allkirjad eIDAS tähenduses, mis tagavad tõendamise koormuse pöördamise allkirjastaja kasuks.

Määrus eIDAS nr 910/2014/EL

See määrus, mida kohaldatakse otse kõikides liikmesriikides, loob usalduseteenuste õigusraamistiku. Tema artikkel 26 määratleb täiustatud elektroonilise allkirja tingimused; artikkel 28 kvalifitseeritud sertifikaadi nõudeid; lisa I annab nende sertifikaatide kohustuslikud sisu. Kvalifitseeritud PSCo-d saavad vastavuse oletusi määruse tehnilistele ja õiguslikele nõuetele (artikkel 19§2), mis on suur eelis vaidlustes.

eIDAS 2.0 määrus — (EL) 2024/1183

Avaldatud 30. aprillil 2024, see määrus tutvustab muudatused uusi usalduseteenuste kategooriaid (kvalifitseeritud atribuutide tunnistused, kvalifitseeritud arhiveerimise teenused) ja tugevdab järelevalve kohustusi. See tunnistab kehtetuks ja asendab osaliselt määruse 910/2014, kohaldatavuse progressiivne vastavalt Commission Europeenne teostusaktidele.

RGPD — Määrus (EL) 2016/679

RGPD kohaldatakse iga isikuandmete töötlemisele, mis toimub elektroonilise allkirja teenuse raames. Artiklid 5 (õiguslikkuse põhimõtted), 6 (õiguslik alus), 9 (tundlikud andmed), 13-14 (teave), 28 (alampakkuja), 32 (turvalisus), 33-34 (rikkumise teatamine), 35 (AIPD) ja 37 (DPO) jagunevad kõige sagedamini kohaldatavateks säteteks. CNIL on pädeva kontrolli asutus Prantsusmaal ja võib määrata rahasanktsioonid kuni 20 miljoni euro või 4% iga-aastasest maailmamajandusliku käibest (artikkel 83§5).

NIS2 direktiiv — (EL) 2022/2555

Transponeeritud Prantsuse õigusesse seadusega nr 2023-703 (1. august 2023), NIS2 klassifitseerib märkimisväärsete PSCo-d tähtsate või kriitiliste üksustena, mis on sunnitud küberriskide juhtimise ja intsidentide teatamise kohustustele ANSSI-le 24 tunni jooksul (varajane hoiatus) ja seejärel 72 tunni jooksul (täielik teatamine).

ETSI standardid

Kõik EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ja TS 119 431 standardid moodustavad tehnilist kohustust kvalifikaatsiooni auditid jaoks. Nende mittetäitmine kaasa toob võimatuse omandada või säilitada kvalifitseeritud staatust.

Õiguslikud riskid mittevastavuse korral

Mittenõuetekohane pakkuja seisab silmitsi: TSL-ist eemaldamisega, lepingulistest ja lepinguvälistest vastutuse tekkimisega, CNIL haldusvastutus ja NIS2 trahvid, mis võivad ulatuda kuni 10 miljoni euroni või 2% maailma käibest tähtsate üksuste puhul ja 20 miljonit või 4% käibest kriitiliste üksuste puhul, samuti kohtulike vaidluste all, kui kliendid on kannatanud kahju seoses allkirjadega, mis ei ole õiguslikult kehtivad.

Kasutamise stsenaariumid: kuidas ettevõtted kontrollivad PSCo vastavust

Stsenaarium 1 — Tsiviilteaduste rühm, mis haldab 3000 lepingut aastas

Tsiviilteaduste rühm keskmistel suurustel (ETI), aktiivseid mehaaniliste seadmete tootmisel, dematerialiseerib kõik oma hankijate lepingud SaaS elektroonilise allkirja platvormi kaudu. Pärast siseauditi käivitamist, mis oli käivitatud pärast regulatiivse arengut, leiab juriidiliste haldusvastutajad, et valitud pakkuja — alguses valitud hinna kriteeriumite alusel — ei ole loetletud Prantsuse TSL-is ega ühegi Euroopa TSL-is. Väljastatud allkirjad on "lihtsa" tüübiga ilma kindla allkirjastaja identifitseerimismehhanismita.

Õigusriskiga silmitsi — kõikide allkirjastatud lepingute kehtivust võiks vaidlustada vaidluse puhul — käivitab ettevõte migreerimise kvalifitseeritud PSCo ANSSI-le. Uus lahendus integreerib täiustatud allkirja kvalifitseeritud sertifikaadiga, kvalifitseeritud ajatembliga ja eksportitava audit trail-iga. Migreerimisplaan, mida täidetakse alla 8 nädala jooksul, võimaldab retroaktiivselt turvata uusi aktsid ja kehtestada dokumentide poliitika vastavalt nõuetele. Juriidilised meeskonnid hindavad, et riskivaidluste seotud vanade lepingutega jääb marginaalseks faktist täitmise tõttu ilma vastuseisuta, kuid kõik uued allkirjad on nüüd kaetud.

Täheldatud kasumused: 60% vähenemine potentsiaalsetest vaidlustest allkirja autentsuse seostes ja 3,5 päeva keskmise allkirja aja kasvu komplekssete lepingute jaoks automatiseeritud valideerimise töövoo kaudu.

Stsenaarium 2 — 25 juristiga advokaadikontor, kes spetsialiseeritakse äriseadustele

Advokaadikontor soovib digitaliseerida mandaatide allkirjastamist, konsultatsioone ja protseduuriakte ja hindab mitut pakkujat. Tema analüüsivõrk integreerib järgmised kriteeriumid: olemasolu TSL-is, avalikult kättesaadava PC/DPC avaldamine, RGPD järgse DPA olemasolu, jõutav DPO ja QSCD kauguselt sertifikatsioon.

Viiest hinnatud pakkujast rahuldavad ainult kaks täielikult kõiki kriteeriumeid. Kontor valib lõpuks PSCo, kes pakub natiivistult kvalifitseeritud allkirja QSCD kauguselt, garanteerides Code civil artikli 1367 usaldusväärsuse oletuse. Seadistamine võtab 3 nädalat, koolitused kaasarvatud. Tulemus: 75% mandaatidest allkirjastatakse nüüd vähem kui 24 tunni jooksul võrreldes 5-7 päevaga varem (postiaadress), ja kontor saab õigustada oma klientidele pakutava lahenduse õigusturvalisuse taset — eristav argument tema müügipakkumistes.

Stsenaarium 3 — Haiglarühm umbes 1200 voodiga

Haiglarühm avalik sektor soovib dematerialiseerida töölepingute, praktikakonventsiooni ja partnerluslepingute hooldusasutustega. Töödeldavate andmete tundlikkus (tervishoiutöötajate ja sealsete personnali tervishoiumandmed) nõuab hoolikuse arvu PSCo RGPD kohustustest.

Juhtkonna IT ja DPO nõuavad: andmete majutamist Prantsusmaal sertifitseeritud tervishoiuandmete majutajal (HDS — Hébergeur de Données de Santé, sertifikatsioon ette nähtud avaliku tervishoiu koodeksi artiklis L.1111-8), andmete ülekandmise puudumist väljaspool EMP, dokumenteeritud AIPD allkirjastajate identifitseerimise jaoks, ja allkirjastatud DPA enne igasuguseid tootmisseadeid.

Pärast nõuetele vastava PSCo valimist hõlmab kasutuselevõtt prioriteet HR lepinguid (umbes 800 akti aastas). Lepingute allkirja keskmise aja määraeg määratletakse tähtaja lepingute jaoks vähem kui 48 tundi vähem kui 9 päeva puhul, vabastades inimressurssidele märkimisväärse jõudluse. Ettevõttel on täielik jälgimine nõusolekutest, mida auditeeritakse aastaselt oma DPO poolt.

Kokkuvõte

Elektroonilise allkirja pakkujatele Prantsusmaal langevad õiguslikud kohustused moodustavad nõudliku normatiivse kogumi: eIDAS kvalifikatsioon, RGPD vastavus, ETSI standardite järgimine, NIS2 kohustused ja eIDAS 2.0 adapteerimine. Kasutajaettevõtetele on ülimalt oluline tagada oma PSCo vastavus — see ei ole valikuline tegevus, vaid allkirjastatud aktide õiguslike tõendite ja allkirjastajate isikuandmete kaitse eeltingimus.

Certyneo on elektroonilise allkirja pakkuja, kes vastab kõigile nendele nõudmistele: eIDAS vastavus, RGPD by design, riiklike andmete majutamine ja dokumenteeritud eIDAS 2.0 arengukaart. Olete valmis oma allkirjad täielikku nõuetekohaseisega turvama? Nõudke Certyneos demonstratsiooni või looge Certyneos konto ja saate personaliseeritud käsitlemist esimesest päevast.