Sähköisen allekirjoituksen palveluntarjoajan velvoitteet Ranskassa

Johdanto

Sähköisen allekirjoituksen ratkaisun käyttöönotto Ranskassa ei ole improvitsointi. Jokaisen kelpoistetun tai kehittyneen allekirjoituksen takana on kymmeniä laillisia velvoitteita, jotka koskevat luottamuspalvelujen tarjoajaa (PSCo). eIDAS-asetus, RGPD, yleinen tietoturvastandardisto, ETSI-standardit... säädöskehys on sekä tiheä että kehittyvä. Käyttäjille on ratkaisevan tärkeää ymmärtää nämä lailliset velvoitteet, jotta voidaan valita noudattavainen kumppani ja välttää oikeudelliset riskit. Tämä artikkeli kuvaa yksityiskohtaisesti jokaisen osion kautta kaikki ranskalaisella alueella toimiviin PSCo-palveluntarjoajiin soveltuvat vaatimukset.

---

Kelpoitetun luottamuspalvelun tarjoajan asema

Mikä on PSCo eIDAS-asetuksen mukaan?

Asetus eIDAS nro 910/2014 jakaa palveluntarjoajat kahteen kategoriaan: ei-kelpoistetut luottamuspalvelun tarjoajat ja kelpoistetut palveluntarjoajat (PSCQ). Ensimmäiset voivat tarjota yksinkertaisia tai kehittyneitä allekirjoituspalveluja ilman pakollista kolmannen osapuolen auditointia. Toisen kategorian palveluntarjoajat — joiden ainoa oikeus on myöntää eIDAS:n 3(15) artiklan mukaisia kelpoitettuja allekirjoituksia — on täytettävä huomattavasti tiukemmat vaatimukset.

Ranskassa kansallisen tietoturvajärjestelmien viraston (ANSSI) tehtävä on toimia valvontaviranomaisen (« Supervisory Body ») roolissa, kuten eIDAS:n 17 artiklassa säädettään. Se julkaisee ja ylläpitää ranskalaiselle Trust Service List -luetteloa (TSL), joka on saatavilla sen virallisella verkkosivustolla ja joka sisältää kelpoistetut palveluntarjoajat ja niiden palvelut.

Kelpoistusmenetelmä: auditointi ja vaatimustenmukaisuus

PSCo:n saadakseen kelpoitetun aseman se on pakollisesti:

• Annettava palvelunsa auditoimiseksi akkreditoidun vaatimustenmukaisuusarvioinnin järjestön (CAB — Conformity Assessment Body) toimesta COFRAC-akkreditoinnin mukaisesti EN ISO/IEC 17065 -standardin mukaisesti.

• Annettava auditointiraportti ANSSI:lle, joka päättää kelpoitetun aseman myöntämisestä. Tämä asema arvioidaan uudelleen vähintään 24 kuukauden välein (eIDAS:n 20 artikla §1).

• Ilmoitettava ANSSI:lle merkittävistä muutoksista palveluissa 3 kuukauden kuluessa ennen suunniteltua muutosta (eIDAS:n 21 artikla).

Näiden vaiheiden noudattamatta jättäminen altistaa palveluntarjoajan TSL-poistamiselle ja kelpoitettuihin allekirjoituksiin liittyville laillisille oletuksille menettämiselle. Asiakasyrityksille TSL-luetteloon merkitsemättömän PSCo:n käyttäminen tarkoittaa käytännössä sitä, että ei ole mitään laillisen luotettavuuden oletusta.

> Lue lisää allekirjoitusten eri tasosta ja niiden oikeudellisista vaikutuksista ohjeistostamme.

---

PSCo:n tekniset ja tietoturvavelvoitteet

ETSI-standardien noudattaminen

Kelpoistettujen palveluntarjoajien on noudatettava eurooppalaisen televiestintästandardisointilaitoksen (ETSI) julkaisemia eurooppalaisia standardeja. Tärkeimmät ovat:

• ETSI EN 319 401: yleiset tietoturvapoikkeamat kaikille PSCo:ille.

• ETSI EN 319 411-1 ja 411-2: kelpoitetun allekirjoitustodistuksen myöntävien viranomaisten politiikat ja käytännöt.

• ETSI EN 319 132: kehittyneiden sähköisten allekirjoitusten muodot (XAdES XML-muotoa varten, PAdES PDF:ää varten, CAdES CMS:ää varten).

• ETSI EN 319 122: CAdES-muoto kelpoistetuille allekirjoituksille.

• ETSI TS 119 431: vaatimukset etäallekirjoituspalveluille (QSCD-etä).

Nämä standardit eivät ole valinnaisia: eIDAS-asetus (Liite II, III ja IV) viittaa niihin nimenomaisesti määritelläkseen kelpoistettujen todistuksien ja allekirjoituksenluontilaitteiston vähimmäisvaatimukset.

Kelpoistettujen allekirjoituksien luomislaitteistojen (QSCD) hallinta

Yksi kelpoitetun allekirjoituksen tukipilareista on eIDAS:n liitteessä II määritellyn kelpoistetun allekirjoituksien luomislaitteiston (QSCD) käyttäminen. Palveluntarjoajalla on vastuu siitä, että:

• Allekirjoittajan yksityistä avainta ei voi luoda, tallentaa tai kopioida QSCD:n ulkopuolelle.

• Avaimen luominen tapahtuu yksinomaan sertifioitua ympäristössä (Common Criteria EAL 4+ -sertifikaatti tai vastaava).

• Allekirjoittajan todentaminen ennen allekirjoitusta perustuu vähintään kahteen todennustekijään.

Etäallekirjoituksen kontekstissa — mikä on yhä yleisempi SaaS-ympäristöissä — nämä vaatimukset koskevat avaimia isännöivää HSM-palvelinta (Hardware Security Module). ANSSI on julkaissut erityiset suojausprofiilit (PP-0075, PP-0076), joissa määritellään saavutettavat tietoturvaperusteet.

Jatkuvuuspolitiikka ja poikkeamien ilmoittaminen

eIDAS:n 19 artikla velvoittaa jokaista luottamuspalvelun tarjoajaa (kelpoitettua tai ei) tekemään:

• Ilmoituksen valvontaviranomaiselle (ANSSI) ja tarvittaessa tietosuojaviranomaiselle (CNIL) 24 tunnin kuluessa turvallisuusloukkauksesta, jolla on mahdollinen vaikutus palvelun luotettavuuteen.

• Dokumentoitua ja säännöllisesti testattua liiketoiminnan jatkuvuussuunnitelmaa.

• Tietoturvapolitiikkaa, joka sisältää muun muassa riskienhallintaa, poikkeamienhallinnan ja varmuuskopiointipolitiikkaa.

Nämä vaatimukset osittain päällekkäisevät NIS2-direktiivin (2022/2555/EU) kanssa, joka on siirretty ranskalaiseen lainsäädäntöön lailla nro 2023-703 1. elokuuta 2023, ja joka luokittelee merkittävät PSCo:t tärkeiden tai olennaisten yhteisöjen joukkoon, joille sovelletaan tehostettuja kyberturvallisuusvelvoitteita.

> Tutustu siihen, kuinka dokumentaariprosessit on integroitava näihin rajoituksiin.

---

RGPD-vaatimukset, jotka koskevat PSCo:ta

PSCo, rekisterinpitäjä vai käsittelijä?

Palveluntarjoajan RGPD-luokitus riippuu tarjottavien palvelujen luonteesta:

• Kun PSCo myöntää suoraan kelpoitettuja todistuksia allekirjoittajan nimissä ja määrittää henkilötietojen käsittelyn tarkoitukset (henkilöllisyys, todennustietojen biometriset tiedot), se toimii rekisterinpitäjänä RGPD:n 4(7) artiklan merkityksessä.

• Kun se integroi API:nsa asiakkaan B2B-alustaan ja käsittelee henkilötietoja vain asiakkaan ohjeiden mukaisesti, se toimii käsittelijänä (RGPD:n 4(8) artikla) ja on velvoitettu tekemään RGPD:n 28 artiklaan noudattavan tietojen käsittelysopimuksen (DPA).

Käytännössä suurin osa SaaS PSCo:ista yhdistää nämä kaksi roolia: rekisterinpitäjä omansa sertifiointiinfrastruktuurin hallinnassa, käsittelijä asiakkaiden asiakirjojen ja asiakastietojen käsittelemisessä.

Erityiset biometristen ja henkilöllisyystietojen velvoitteet

Allekirjoittajan tunnistaminen ja todentaminen — pakollinen vaihe kelpoistetun todistuksen myöntämiseksi — edellyttää usein arkaluontoisten tietojen käsittelyä: henkilöllisyysasiakirjan skannausta, videoselfiä, kasvon tunnistamisen biometrisia tietoja. Nämä tiedot muodostavat RGPD:n alaisia henkilötietoja, ja ne voivat olla RGPD:n 9 artiklassa tarkoitettuja erityisiin kategorioihin kuuluvia tietoja (biometriset tiedot).

PSCo:n velvoitteet sisältävät:

• Oikeusperuste: nimenomainen suostumus (RGPD:n 9§2a) tai joissain tapauksissa oikeudellinen velvoite (RGPD:n 9§2b) biometristen tietojen käsittelylle.

• Rajoitettu säilytysaika: CNIL:n ohjeistuksen mukaisesti henkilöllisyystiedot on säilytettävä tiukasti tarpeellisen ajan, yleensä todistuksen voimassaoloajan sekä todisteiden säilytysajan mukaisen ajanjakson (usein 10 vuotta yksityisille asiakirjoille, Ranskan siviilikaaren 2224 artikla).

• Vaikutusarviointi (AIPD) pakollinen (RGPD:n 35 artikla) aina, kun käsittely todennäköisesti aiheuttaa suuren riskin — mikä on systemaattisesti totta biometriikalle.

• Käsittelyjen rekisteri (RGPD:n 30 artikla) jatkuvasti päivitettynä ja dokumentoimassa jokaisen käsittelykategorian.

Kansainväliset tietojen siirrot

Monet PSCo:t isännöivät kokonaan tai osittain infrastruktuuriaan EU:n ulkopuolella. Tässä tapauksessa RGPD:n V luvussa vaadittavat asianmukaiset takeet pätevät: adekvaatiota koskevia päätöksöjä, komission liitäntälausekkeita (SCC) tai sitovia yrityssääntöjä (BCR). Schrems II -tuomio (CJEU, C-311/18, 16. heinäkuuta 2020) muistutti, että Yhdysvaltain siirrot edellyttävät ennakkoon tehtävää maariskianalyysia.

> Ymmärrä näiden säännösten vaikutusta organisaatioosi.

---

Läpinäkyvyys- ja tiedonantovelvoitteet käyttäjille

Sertifiointipolitiikka (PC) ja sertifiointikäytäntöjen ilmoitus (DPC)

Jokaisen todistuksia myöntävän PSCo:n on julkaistava Sertifiointipolitiikka (PC) ja Sertifiointikäytäntöjen ilmoitus (DPC) ETSI EN 319 411 -standardin mukaisesti. Nämä vapaasti saatavilla olevat asiakirjat kuvailevat:

• Allekirjoittajien tunnistamis- ja rekisteröintimenetelmät.

• Käytössä olevat fyysiset ja loogiset tietoturvatoimet.

• Todistuksien perumisehto ja siihen liittyvät ajanjaksot.

• PSCo:n vastuut ja vastuun rajoitukset.

Näiden asiakirjojen puuttuminen tai epätäydellisyys muodostaa noncompliance-ongelman, jonka akkreditoitu auditoija voi havaita uudelleen kelpoituksella.

Asiakkaiden esisopimuksen tiedottaminen ja sopimuksellinen tiedottaminen

Puhtaasti teknisten velvoitteiden lisäksi RGPD:n 13 artikla velvoittaa PSCo:n toimittamaan jokaiselle henkilölle, jonka tiedot kerätään, selkeän ja saavutettavan tiedon:

• Rekisterinpitäjän henkilöllisyys ja tietosuojavaltuutetun (DPO) yhteystiedot (pakollinen PSCo:ille, jotka käsittelevät laajamittaisesti arkaluonteisia tietoja, RGPD:n 37 artikla).

• Kunkin käsittelyn tarkoitukset ja oikeusperusteet.

• Henkilöiden oikeudet (pääsy, oikaiseminen, poistaminen, siirrettävyys, vastustaminen).

• Mahdolliset tietojen vastaanottajat (käsittelijät, viranomaiset).

Näiden tietojen on oltava palvelun tietosuojapoliitikassa, käyttöehdoissa ja tarvittaessa ammattiasiakkaiden kanssa tehdyssä DPA-sopimuksessa.

Kelpoistettu aikaleima ja auditointiketju

Jotta allekirjoitusten oikeudellista arvoa voidaan säilyttää pitkäaikaisesti, vakavat PSCo:t yhdistävät systemaattisesti kelpoistetun sähköisen aikaleiman (eIDAS:n 42 artikla) jokaisen allekirjoitetun asiakirjaan. Tämä aikaleima on laillinen todiste tietojen olemassaolosta ilmoitetulla päivämäärällä. Auditointiketjun säilyttäminen (tunnistuslokit, asiakirjan sormenjälki, allekirjoitustiedot) on käytännön velvoite, jotta voidaan myöhemmin sallia oikeudellinen vahvistus.

> Vertaile markkinaratkaisuja näiden kriteerien perusteella.

---

eIDAS 2.0: uusia velvoitteita vuosille 2026-2027

Asetus eIDAS 2.0 (EU) 2024/1183

Julkaistu EU:n virallislehdessä 30. huhtikuuta 2024, asetus (EU) 2024/1183 nimeltä "eIDAS 2.0" vahvistaa merkittävästi PSCo:n velvoitteita kolmen akselin ympärillä:

• Eurooppalainen digitaalisen identiteetin lompakko (EUDI Wallet): jäsenvaltioiden on asetettava saataville sertifioitu digitaalisen identiteetin lompakko 2. marraskuuta 2026 mennessä. PSCo:n on integroitava palvelunsa tähän lompakkoon tarjotakseen kelpoitettuja allekirjoituksia eIDAS 2.0 -identiteetin kautta.

• Atribuuttitodistuksien hallinta: eIDAS 2.0 ottaa käyttöön kelpoistetut atribuuttitodistukset (QEAAs), jotka myöntävät kelpoistetut atribuuttitodistuspalvelun tarjoajat. Sovelletaan uusia audit- ja kelpoitusmenettelyjä.

• Valvonnan vahvistaminen: kansalliset valvontaviranomaiset (Ranska ANSSI) näkevät valtuuksiensa laajenemisen, mukaan lukien mahdollisuus tehdä yllätysauditointeja ja määrätä pakottavia korjaavien toimenpiteiden toimenpiteitä lyhennetyssä aikataulussa.

Käytännölliset vaikutukset nykyisille palveluntarjoajille

Kelpoistetut PSCo:t eIDAS 1.0:n alla joutuvat progressiivisen vaatimustenmukaisuuden mukauttamiseen komission täytäntöönpanovaltuuksien asettamiin määräaikoihin (julkaistuihin tai julkaistaviksi). Pääasiallisesti mukautukset koskevat:

• EUDI Walletin tukemisen infrastruktuurin uudelleensuunnittelua todennusmenetelmänä.

• PC/DPC:n päivittämistä uusien sertifikaatti- ja todistusten tyyppien integroimiseksi.

• QSCD-etä:n tietoturvapoikkeamien vahvistamista, joiden mukana tulevat uudet suojausprofiilit.

Asiakasyrityksille tämä tarkoittaa sitä, että tarkistetaan jo tänään, että heidän palveluntarjoajillaan on dokumentoitu ja vahvistettavissa oleva eIDAS 2.0 -vaatimustenmukaisuuden strategia.

Sähköisten allekirjoitusten palveluntarjoajien velvoitteisiin sovellettava oikeudellinen kehys

Ranskassa toimivien sähköisen allekirjoituksen palveluntarjoajiin sovellettava normatiivinen ketju rakentuu useille toisiaan täydentäville hierarkkisille tasoille.

Ranskan siviililaki — 1366 ja 1367 artikla

Siviililain 1366 artikla tunnustaa sähköisen asiakirjan kirjoitusmuodoksi, joka vastaa paperisähköpostia, edellyttäen, että "voidaan asianmukaisesti tunnistaa henkilö, jolta se johtuu, ja se on laadittu ja säilytetty tavalla, joka takaa sen eheyden". 1367 artikla täsmentää, että sähköinen allekirjoitus "koostuu proseduurin käytöstä, joka luotettavasti tunnistaa sen ja takaa yhteyden asiakirjaan, johon se on liitetty". Presumpti luotettavuudesta hyödyttää eIDAS:n mukaisia kelpoitettuja allekirjoituksia, mikä käännyttää todistustaakan allekirjoittajan eduksi.

Asetus eIDAS nro 910/2014/EU

Tämä asetus, jolla on välitön soveltaminen kaikissa jäsenmaissa, vahvistaa luottamuspalvelujen oikeudellisen kehyksen. Sen 26 artikla määrittelee kehittyneen sähköisen allekirjoituksen ehdot; 28 artiklassa kelpoitettujen todistuksien vaatimukset; liitteessä I nämä todistukset sisältävät pakollisen sisällön. Kelpoistetut PSCo:t hyötyvät asetuksen teknisten ja oikeudellisten vaatimuksien vaatimustenmukaisuuden oletuksesta (19 artikla §2), mikä on merkittävä etu kiistan sattuessa.

Asetus eIDAS 2.0 — (EU) 2024/1183

Julkaistu 30. huhtikuuta 2024, tämä muutosasetus esittelee uusia luottamuspalvelujen kategorioita (kelpoistetut atribuuttitodistukset, kelpoistetut arkistointipalvelut) ja vahvistaa valvontavelvoitteita. Se kumoaa ja osittain korvaa asetuksen 910/2014, ja soveltamisaika on progressiivinen komission täytäntöönpanovaltuuksien perusteella.

RGPD — Asetus (EU) 2016/679

RGPD soveltuu kaikkiin henkilötietojen käsittelyihin, jotka suoritetaan sähköisen allekirjoituspalvelun yhteydessä. Erityisesti 5 artikla (laillisuuden periaatteet), 6 (oikeusperuste), 9 (herkkä data), 13-14 (tiedottaminen), 28 (alihankinta), 32 (turvallisuus), 33-34 (loukkauksen ilmoitus), 35 (vaikutusarviointi) ja 37 (tietosuojavaltuutettu) säännökset soveltuvat. CNIL on Ranskassa asianmukainen valvontaviranomainen ja voi määrätä sakkoja enintään 20 miljoonaan euroon tai 4 prosenttiin vuosittaisesta maailmanlaajuisesta liikevaihdosta (RGPD:n 83§5 artikla).

Direktiivi NIS2 — (EU) 2022/2555

Siirretty ranskalaiseen lainsäädäntöön lailla nro 2023-703 1. elokuuta 2023, NIS2 luokittelee merkittävät PSCo:t tärkeiden tai olennaisten yhteisöjen joukkoon, joille sovelletaan kyberriskin hallintaa ja poikkeaman ilmoitusta ANSSI:lle 24 tunnissa (varhainen varoitus) ja sitten 72 tunnissa (täydellinen ilmoitus).

ETSI-standardit

Kaikki EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ja TS 119 431 -standardit muodostavat pakollisen teknisen viitteen kelpoitusten auditointiin. Näiden noudattamatta jättäminen johtaa siihen, ettei kelpoitettua asemaa voida saada tai säilyttää.

Oikeudelliset riskit noncompliance-tapauksessa

Ei-noudattava palveluntarjoaja on alttiina: TSL:stä poistamiselle, sopimukselliselle ja sopimuksettomalle vastuulle, CNIL:n hallinnollisille sakoille, NIS2-sakoille, jotka voivat saavuttaa 10 miljoonaa euroa tai 2 prosenttia maailmanlaajuisesta liikevaihdosta tärkeille yhteisöille ja 20 miljoonaa tai 4 prosenttia olennaisten yhteisöjen osalta, sekä asiakkaidensa oikeuskanteille, jotka ovat kärsineet vahinkoa kelpoittomista allekirjoituksista johtuen.

Käyttötilanteet: kuinka yritykset vahvistavat PSCo-palveluntarjoajan vaatimustenmukaisuuden

Tilanne 1 — Teollisuusryhmä hallinnoi 3 000 toimittajasopimusta vuodessa

Keskikokoinen (ETI) teollisuusryhmä, joka on aktiivinen mekaanisten laitteiden valmistuksessa, dematerialisoi kaikki toimittajasopimuksensa SaaS-muotoiseen sähköisen allekirjoituspalveluun. Sisäisen auditoinnin yhteydessä, joka käynnistyi säännösten muutoksen jälkeen, oikeudellinen osasto havaitsi, että valittu palveluntarjoaja — joka valittiin alun perin hinnan perusteella — ei ole merkitty ranskalaiselle TSL-luettelolle eikä millekään muulle eurooppalaisen TSL-luettelon. Myönnettävät allekirjoitukset ovat "yksinkertainen" -tyyppisiä ilman robustia allekirjoittajan tunnistusmekanismia.

Oikeudellisen riskin edessä — kaikki allekirjoitetut sopimukset voivat nähdä niiden oikeudellisen todisteen arvon kiistetyksi riitatilaisuudessa — yritys aloittaa siirtymisen ANSSI-kelpoistettuun PSCo:iin. Uusi ratkaisu sisältää kehittyneen allekirjoituksen kelpoitetulla todistuksella, kelpoistetulla aikaleimalla ja viennillä tuotavalla auditointiketjulla. Migraatioprojekti, joka toteutettiin alle 8 viikossa, mahdollisti uusien asiakirjojen takautuvan turvallisuuden ja dokumentaarisen politiikan perustamisen, joka noudattaa vaatimuksia. Oikeudellinen tiimi arvioi, että vanhissa sopimuksissa olevan sisällön oikeudelliset riskit ovat marginaalisia, koska ne on suoritettu riitattomasti, mutta jokainen uusi allekirjoitus on nyt suojattu.

Havaitut hyödyt: 60 prosentin väheneminen allekirjoitusten autenttisuuteen liittyvissä mahdollisissa riidoissa ja 3,5 päivän keskimääräinen voitto monimutkaisten sopimusten allekirjoitukseen, koska validointityönkulun automatisointi on mahdollista.

Tilanne 2 — Asianajotoimisto 25 asiainajajalla erikoistuneena bisneslainsäädäntöön

Asianajotoimisto, joka haluaa digitalisoida valtuuksien, konsultaatioiden ja oikeudellisten asiakirjojen allekirjoitukset, arvioi useita palveluntarjoajia. Sen analysointisarja sisältää seuraavat kriteerit: TSL-luettelossa oleminen, saatavilla olevan PC/DPC:n julkaiseminen, RGPD-vaatimuksenmukaiset DPA:n olemassaolo, tavoitettavissa olevan tietosuojavaltuutetun saatavuus ja QSCD-etä:n sertifiointi.

Viidestä arvioidusta palveluntarjoajasta vain kaksi täyttää kaikki kriteerit. Toimisto valitsee lopulta PSCo:n, joka tarjoaa natiivisti kelpoitettua allekirjoitusta QSCD-etä:n kautta, mikä takaa siviililain 1367 artiklan mukaisen luotettavuuden oletuksen. Käyttöönotto kestää 3 viikkoa, koulutus mukaan lukien. Tulos: 75 prosenttia valtuuksista allekirjoitetaan nyt alle 24 tunnissa verrattuna aiemmin 5-7 päivään (postitus), ja asianajotoimisto voi osoittaa asiakkailleen ratkaisun tarjoaman oikeudellisen turvallisuuden tason — eroava tekijä sen kaupallisissa tarjouksissa.

Tilanne 3 — Sairaalaryhmä noin 1 200 sängyllä

Julkinen sairaalaryhmä haluaa dematerialisoidaan työsopimukset, harjoittelysopimukset ja kumppanisopimusten kanssa hoitolaitosten kanssa. Käsittelyjen tietojen herkkyyden (henkilöstön terveystiedot, HR-tiedot) perusteella erityinen huomio on kiinnitetty PSCo:n RGPD-velvoitteisiin.

IT-osasto ja organisaation tietosuojavaltuutettu vaativat: tietojen sijainti Ranskassa terveystiedon isännöinnin sertifioidulla palveluntarjoajalla (HDS — Hébergeur de Données de Santé, sertifiointi ennalta määritelty terveyssäädöksen 1111-8 artiklan perusteella), ei siirtoja EEE:n ulkopuolelle, dokumentoitu vaikutusarviointi (AIPD) tunnistamisen käsittelystä ja DPA allekirjoitettu ennen tuotannon käynnistystä.

Valittuaan näihin kriteereihin vastaavan PSCo:n käyttöönotto koskee ensisijaisesti HR