Síniú Leictreonach RH & RGPD: treorach iomlán 2026

Tháinig foluain mhór ar dhigitalú acmhainní daonna ó 2020 i leith: conarthaí fostaíochta, mionsonraí, bileoga pá, cairteacha ríomhaireachta, comhaontuithe teileobhaire — gealadh beagnach gur bhog na doiciméid seo ar fad go fórmúlacht dhigiteach. Ar ndóigh, ní bhraistear deastánachas ó oibleagáidí dlíthiúla trí dhearúchán a dhéanamh. Go contrártha: is ábhar an-thábhachtach a bhíonn ann an síniú leictreonach doiciméad RH RGPD, mar go bhfuil dhá réiteach rialála ann, agus méanann sé nasc idir an creat eIDAS ar an luach fianaise an tsiníthe agus rialachán an Aontais Eorpaigh ar chosaint sonraí pearsanta. Murar thuig tú na rialacha seo go maith, tá an damhna ag fál a oiread agus baol dlíthiúil agus peanálacha ó CNIL. Cuireann an treorach seo i láthair na rialacha riachtanacha, na deasghnátha maithe agus na pointí aire atá tú ábalta a bheith ann go cinnte in 2026.

Cén fáth a bhítear ag cur RGPD i bhfeidhm ar shíniú leictreonach RH?

Déanann síniú leictreonach sonraí pearsanta a phróiseáil go riachtanach

Is iad na comhéis gur bhraistear contáir ar dhochuimhne leibhéal pearsanta a bhaineann le sníomh ar líne: ainm, sloinne, seoladh r-phoist oibre, uaireanta líon guthán soghluaiste, tréimhsiú-ama agus seoladh IP an tsiníthe. In iomláine RH, bíonn sonraí na ciallmhaire seo an-bhraisteanach mar go bhfuil siad ag gealadh go díreach an fostaithe agus go bhfuil nasc acu ar a ghaol conarthaí leis an bhfostóir.

An soláthraí seirbhísí muiníne (PSC) a sholáthraíonn an tsreabhadh siníofa a bhíonn i gceist go bhfuil sé ina fho-phróiseálaí dar leis an Airteagal 28 den RGPD. Is soláthraí a bhíonn fhéin freagrach ar an bpróiseáil. Tá an idirdhealú seo go bunúsach: is an bhéim a bhíonn ag an gcomhpháirtí ar a dul ar maidí nó ar a dhúltú leis an CNIL i gcás faillí, ní an bhéim a bhíonn ag soláthraí an bhogearraí.

Na boinn dhlagartha a bhítear ábalta a úsáid i gcomthéacs RH

I gcás gach catagóir doiciméad RH déanta gan páipéar, caithfidh an fostóir an bhunús dlíthiúil próiseálta a ghlacadh ar an bhunús is iomchuí:

• Forghníomhú an chonarthaigh (Art. 6.1.b RGPD): síniú an chonarthaigh oibre, aonán salachair, gnáthamh ar bharrainneoir-laethanta. Is an bunús dlíthiúil is láidir seo a bhíonn ann i bhfearas doiciméad conarthaí.

• Oibleagáid dhraíochta (Art. 6.1.c RGPD): aistriúchán gan páipéar an bhileog pá (ceadaithe ó dhlí Macron de 2015 faoi choinníollacha), clárú an phearsanail.

• Ús spéisiúil (Art. 6.1.f RGPD): cairteacha ríomhaireachta, rialacha inmheánacha, doiciméad den bhéilscéal polasaí — faoi réir thástálacha ar chothromaíochta.

An bhunús toil (Art. 6.1.a) is fearr a sheachaint i gcomhthéacs RH: measann CNIL agus EDPB (Coiste Eorpach ar Chosaint Sonraí) go bhfuil an ghaol fúitreorúcháin idir fostóir agus fostaithe mar dhéantóir den ghuth a bheith saor go riachtanach. D'fhéadfadh fostaithe a fhorchuir go dírithe ar síniú leictreonach eagla a chur air faoi bhagairt oibre.

Na hoibleagáidí fíor-dhreamanna den duine atá freagrach ar an bpróiseáil RH

An clár gníomhaíochta próiseálta a chur in iúl go dtí go bhfuil sé in ann (RAT)

Imirt an tAirteagal 30 den RGPD go bhfuil ar gach eintiteas atá fостái níos mó ná 250 fostaithe (agus ar SMEs a dhéanann próiseáil ar shonraí mothúchánach ar scála mór) a choinneáil ar clár ar ghníomhaíochta próiseálta. Cuireann an tabhairt isteach gréasáin thiomsúcháin leictreonacha ar ghníomhaíochta próiseálta an próiseáil doiciméad conarthaí RH go bhfuil ar dhúine:

• An sprioc an phróiseálta (m.sh.: déanta gan páipéar agus stóráil ar phroitéctúir dhochimeannta conarthaí RH)

• Na catagóirí sonraí a phróiseáiltear (gné, sonraí teagmhála, sonraí fíordheimhnithe)

• An fhad a bhíonn oiriúnach ar shiothú (fad lagartha ar bhás an chonarthaigh oibre: 5 bhliain i ndiaidh dheireadh an chonarthaigh dar leis an Cód Oibre, alt L. 1234-20)

• Seoladh an tsoláthraí (an fhóirsean siníofa)

• Na bearta slándála a chuirtear i bhfeidhm

DPA (Data Processing Agreement) a shíniú leis an soláthraí

De réir an Airteagal 28 den RGPD, caithfidh gach úsáid ar fho-phróiseálaí chun sonraí pearsanta a phróiseáil a fhoirmiú le conarthaí próiseála sonraí (DPA). Caithfidh an conarthaí seo a shonrú:

• Réad agus fad an phróiseálta

• Nádúr agus sprioc an phróiseálta

• Cineál sonraí pearsanta agus catagóir daoine a bhaint leo

• Oibleagáidí agus cearta an duine freagrach ar an bpróiseáil

• Suíomh na sonraí (fóstáil san AE a bhíonn fólaithe chun ní a laom go taobh thíre thar spárs)

• Na bearta slándála theicniúla agus fhorganáisiúla

Soláthraí síníofa leictreonacha ar an leibhéal measartha soláthraíonn DPA i bhfonnáid a bhíonn i gcomhréir. Is neamhréireacht fhéin-bhailí go millteanach go bhfanann sé i bhfoluain.

Fostaithe a chur in iúl sula n-amharc ar an síniú ar dtús

Imirt an tAirteagal 13 den RGPD go bhfuil ar dhuine eolas dá réir sin a chur in iúl roimhe sin i dtaca le sonraí pearsanta a scinn. Sula n-úsáideann an fostóir síniú leictreonach ar dhochimeannta RH, caithfidh sé na fostaithe a chur ar an eolas:

• De bhéasa an duine freagrach ar an bpróiseáil

• Den sprioc agus den bhunús dlíthiúil

• Den fhad a bhíonn oiriúnach ar shiothú na sonraí

• De bhéasa a gcearta (rochtain, ceartú, foscailt faoi theorainneacha oibleagáidí lagartha ar bhreacadh, iomchuibhne)

• Den seoladh DPO (Ionadaí Cosaint Sonraí) má bhíonn sé ainmnithe

Thiocfadh an t-eolas seo a chur i gcrích sa phróiseas síníofa féin (banna eolais roimh síniú), sa rialachán inmheánach nuashonraithe, nó trí nóta seirbhíse a scaipeadh ar na foshuíomh.

An leibhéal síníofa atá riachtanach ar dhochimeannta RH: SES, AES nó QES?

Ord-ghréine na leibhéal eIDAS

Sainmhíníonn an rialachán eIDAS n°910/2014 trí leibhéal siníofa leictreonacha, gach duine ag soláthar luach fianaise ag méadú:

• SES (Simple Electronic Signature / Síniú Leictreonach Simplí): luach geal fianaise, oiriúnach do dhochimeannta ar ghéarspréachta íseal (fógairt faoi réir, foirmeacha inmheánacha)

• AES (Advanced Electronic Signature / Síniú Leictreonach Ardleibhéal): ceangailte ar bhealach uathúil don tsinítheoirí, cruthaithe as sonraí faoin rialú atá neamhfhréamhaithe aige. Oiriúnach don chuid is mó dhochimeannta RH coitianta.

• QES (Qualified Electronic Signature / Síniú Leictreonach Cáilithe): an leibhéal ba thógálaí, comhionann le síniú scríobhtha dar leis an Airteagal 25.2 eIDAS. Ceangal ar bhreacadh fíordhheimhnithe feabhsaithe (aghaidh-ar-aghaidh nó fíordheimhniú físe).

Cén leibhéal a bhí ag roinnt le cén doiciméad RH?

An léaríonn a bhí eagna in 2026, ag baint úsáide as seasamh an dlíochta Frainc agus na saineolra recomendáilte ar an tséarachas:

| Doiciméad RH | Leibhéal a bhí eagna | Fáth | |---|---|---| | Conarthaigh oibre CDI/CDD | AES ar a laghad, QES eagna | Luach conarthaí láidir, baol prud'homal | | Aonán conarthaí | AES ar a laghad, QES eagna | Rúnda cruthanta an chonarthaigh príomhúil | | Tréimhse triail (athnuachan) | AES | Gearrspéachadh gearr, formáideach teoranta | | Cairt theileobhaire / BYOD | SES nó AES | Aontú coiteann nó rialachán inmheánach | | Gnáthamh ar bharrainneoir-laethanta | QES a bhí go láidir eagna | Dlí sóisialta spréachúil | | Briseadh gnáthamh | QES riachtanach | Foirm Cerfa dhoirt, ábhar ar spréachúil | | Fál ar bharrtha ar chothromaíochta ar gach ní | AES nó QES | Luach saolúchta, alt L. 1234-20 CT |

I bhfearas doiciméad ar mhór-spréachúil (gnáthamh barrainneoir, briseadh gnáthamh), is gá go bhfóirfaidh an QES de fhachtóir chun go raibh go bhfuair an sochán ag an fostaithe ar fhearas na dlíochaí prud'homallach. Mhaidir leis an Cúirt Chúmhachtúil Dheeireach a chrua ar na foilsithe ar ghnéar ar an bhfostaithe.

Cosaint, stóráil agus cearta na ndaoine: na galar a sheachaint

Fad ar choimeádta dlíthiúla na n-doiciméad RH a síní leictreonach

Is gá go bhfuil an cosaint ar dhochimeannta RH a síní leictreonach ag baint a dhéantóir ar fhaid dhlagartha docht. Bhraith na faid seo ar dhligheach díofa ar dhligheacht ar leagtha as i RGPD (alt 17.3.b):

• Conarthaigh oibre: 5 bhliain i ndiaidh dheireadh an chonarthaigh (prescríochtúlachta prud'homallach, alt L. 1471-1 Cód Oibre)

• Bileoga pá: 5 bhliain (prescríochtúlachta tuarastal), ach is fíor-thábhachtach ar iomláine sé chur i bhfeidhm go dtí líonadh na gcearta ar phinsean an fhostaithe

• Doiciméad ar dhíspeagadh oibre: 30 bhliain (baol spréachúil fada)

• Oideachas gairmiúil (pleananna, fíordheimhnithe): 3 bhliain

• Clárú pearsanail: 5 bhliain i ndiaidh an dáta ar fhág an fostaithe an bhunúsán

Is gá go bhfuil an stóráil leictreonach ar luach fianaise de réir na spriocanna den ¶ NF Z 42-013 agus ar a laghad don chreaptóg ETSI EN 319 162 (stóráil fada téarma de shínithe leictreonach). Ní leor mar an stóráil simplí ar dhréachtchomhar: caithfidh tú a dhéanamh cinnte ar bhéas, ar inléiteachta agus ar ama cáilithe den doiciméad ar fhad ar an choimeádta.

Cearta na bhfostaithe a bhainistiú gan a chur i ndalltanacht an luach fianaise

D'fhéadfadh fostaithe a dhéanamh atá ceart ar rochtain (alt 15 RGPD) chun a fháil cóipe ar na sonraí de shínithe a bhain leo. D'fhéadfadh siad a gceangal ar cheartú na sonraí a bhía mícheart.

Ar chúl, níl an ceart ar dhileá (alt 17 RGPD) ábalta a bhí ar dhochimeannata RH a bhfuil oibleagáidí dlíthiúla ar choimeádta leo. Caithfidh an fostóir a bheith ábalta ar a mhíniú go soiléir ar an diúltú seo, trí bhunús dlíthiúil a lua. Is é cruthú ar na hairíonna ar an tsáspa ar chearta ag obair a bheith acmhainne ag CNIL.

An iomchuibhne (alt 20 RGPD) a bhí ar na sonraí soláthraithe ag an bhfostaithe ar bhunús ar an toil nó ar fhorghníomhú an chonarthaigh. I rún, d'fhéadfadh fostaithe a dhéanamh ar a iarraidh ar na sonraí síníofa tríd a dhán gréasáin - oibleagáid a chur i gcrích agus an tsreabhadh siníofa a roghnaigh sé.

Slándáil theicniúil agus eagrúchán: na bearta riachtanach

Gá theicniúla an ghréasáin siníofa

De réir an Airteagal 32 den RGPD, caithfidh na bearta slándála a bheith oiriúnach don bhaol. I bhfearas streabhadh siníofa leictreonacha RH, is ionann seo:

• Criptghréine sonraí ar iompar (TLS 1.3 ar a laghad) agus ar fhos (AES-256)

• Fíordheimhniú iolrach (MFA) ar fhéachaint ar an streabhadh

• Loganna fógra (logs) tréimhsiú-ama agus infals, ag déanamh ar gach gníomh ar an doiciméad

• Fóstáil san AE (nó spárs) chun ní a laom thar spárs gan bharántúis oiriúnacha (cinneadh ar oiriúnachas nó clasuilt conarthaí a bhí gnáthúil)

• Tástála ar bhruith gach bhliain agus certifiú ISO 27001 den soláthraí

• Plean ar leanuint ar bharrtha agus ar chumhachta ar rochtain ar dhullóir i gcás droch-tharlann

Anailís ar dhul i bhfeidhm (AIPD): cathain is gá é?

Imirt an tAirteagal 35 den RGPD ar anailís ar dhul i bhfeidhm ar chosaint sonraí (AIPD) nuair is dóigh go bhfuil an próiseáil ar bharúil go mbeadh ar bhaol ar dhul i bhfeidhm ó bharúil. Bhí liosta foilsithe ag CNIL de shaghas próiseála ar gá ar AIPD: is ionann an próiseáil ar an cion ó bharúil ar shonraí ar bhain le an saol oibre.

Go fíor, bhí AIPD a bhí eagna (nó riachtanach do na cuideachtaí mór) ar na fógra síníofa leictreonacha RH ag tástáil ar na hoibreoirí ar fad. Caithfidh sé na bhaola (caillteanas rúndiachta, goidé ar identity, athrú a chur ar dhochimeannata) agus a mheas ar bhéasa agus ar dhóchúlacht, agus a bhí tairbhí ar dhéanamh. Caithfidh an anailís seo a bheith cruthaithe agus iad a chur i gcrích i gcás ar athrú ar an phróiseáil.

Creat dlíthiúla ar siníú leictreonach RH agus ar RGPD

Teacsanna bunúsacha Eorpacha

Rialachán eIDAS n°910/2014 (agus a athnuachan eIDAS 2.0 ar bhealach ar fhógra): is é an téacs seo a bhíonn sainmhíníonn ar thrí leibhéal siníofa leictreonacha (SES, AES, QES) agus a luach dlíthiúil i ngach Stát Baill. Deirtear san Airteagal 25 go bhfuil ar QES ar éifeacht dlíthiúil ar leith le síniú scríobhtha. Tairgint an tAirteagal 26 ar na gá theicniúla an tsiníú ardleibhéal. Tá na soláthraí seirbhísí muiníne cáilithe ar na liostaí muiníne náisiúnta (i bhFrainc, is é ANSSI a bhainistíonn an liosta).

RGPD n°2016/679: ag oibrí ó 25 Bealtaine 2018, rialaíonn an rialachán seo ar gach próiseáil ar shonraí pearsanta taobh istigh den AE. Tá na hAirteagail 5 (prionsabail), 6 (boinn dhlagartha), 13-14 (eolas), 28 (fho-phróiseálaithe), 30 (clár), 32 (slándáil), 35 (AIPD) agus 37-39 (DPO) go díreach oiriúnach ar an tsiníú leictreonach RH.

Dlí na Fraince ar bhfeidhm

Cód Sibhialta, alt 1366-1367: deirtear san alt 1366 ar an bprionsabal ar comhionannacht dhfheidhm idir scríobh leictreonach agus scríobh páipéir. Aithnítear san alt 1367 ar an tsiníú leictreonach mar mhodh fianaise, faoi choinníoll gur bheadh sé ina phróiseas ar shlándáil ar fhéidhmiúlachta ar bharrtha ar an tsiníofa ar na gcearta agus ar a chur i bhfeidhm ar gníomh ar a chur i láthair. Cruthaítear an tslándáil go fíor ar QES, ach d'fhéadfadh sí a bheith ar fhéidhmiúlacht ar AES.

Cód Oibre: ní bhraistear ar na conarthaí oibre ar a bhí speisialtúchta (e i bhfásanna: CDD alt L. 1242-12, conarthaí oiliúna, srl.). D'oscail dlí Macron de 2015 (dlí n°2015-990) bealach ar bhileog pá leictreonach. Rialaítear na modalitéid ag alt L. 3243-2.

Dlí ar Ríomhaireachta agus Sibhialta athraithe (dlí n°78-17 de 6 Eanáir 1978): a bhí transphósáilte den RGPD, tugann sé ar CNIL a cumhachtaí ar imscrúdú agus ar smacht. D'fhéadfadh na feachtas a bhaint go dtí 20 milliún euro nó 4% ar an rannú ghnóthachan bliantúil dhomhanda ar a ghréine ar shárú.

Normanna theicniúla ar bharrtha

• ETSI EN 319 132: formáid siníofa leictreonacha ardleibhéal XAdES, ar bhfeidhm ar dhochimeannata XML

• ETSI EN 319 122: formáid CAdES ar shínithe leictreonacha doiciméad CMS

• ETSI EN 319 162: stóráil fada téarma ar shínithe leictreonacha (ASiC)

• NF Z 42-013 (AFNOR): spriocanna fheidhmiúla ar chóras ar stóráil leictreonach ar luach fianaise

• ISO/IEC 27001: bainistiú ar bheartas slándála ar chleachtas ar bharrtha ar bhealach

• Baola dlíthiúla i gcás neamhréireachta

An cumhacht ar bhaola ar thógáil: d'fhéadfadh conarthaí oibre a síní le leibhéal siníofa ar bhealach do-thuigeanach a bheith spréachúil ar bharrtha an Chomnhairle Prud'homallach, agus dúltú an fostóir ar qualifiacht nó ar neamhní. I dtaca leis an taobh RGPD, is féidir gan DPA leis an soláthraí, an leaghdú ar chur san iúl na bhfostaithe nó fóstáil thar spárs gan bharántúis oiriúnacha a dhéanamh ar bhagairt ar na CNIL, níos lú ar bhéasa riosach.

Samhlaí úsáide: síniú leictreonach RH i gcomhréir ar RGPD

Samhla 1: ETI dhéantúsóireachta de 600 fostaithe ag déana ar a gconarthaí oibre

Bhí an fhiontraigheacht dhéantúsóireachta ar scála idirmheánach, ar a raibh réamh ar cheithre shuíomhanna i bhFrainc, ag déana bheagnach 180 embhuachta CDI/CDD bhliana ar bhaill faisnéise, agus ag cruthú doiciméannta páipéir ar bhealach a dhaor orthu agus a chur scríobhtha i dhá shaotharlann, do-ghealadh agus stóráil. Bhí an fhad idir an toil chur i bhfeidhm agus an síniú ar an chonarthaí ag teacht go meán de 8 lá oibre.

I ndiaidh ar bhinneasáil ar dhréachtúchán siníofa leictreonacha ardleibhéal (AES) a bhí bhunaithe ar a SIRH, le DPA i gcomhréir ar RGPD a síní leis an soláthraí agus ar AIPD a bhí cruthaithe, bhraig an fhiontraigheacht ar an fhad seo go níos lú ná 24 uair an chloig. Ní raibh an bhreacadh ar dhosacan nach iomláine bhocht ar bhorronn 34% (foinse: an tseasamh seicheamh ar ANDRH 2024). Bhí an fóstáil ar na sonraí i bhFrainc á roghnú mar dhréachtúchán conarthaí, agus gan baol ar mhór-chúrsa ar thaobh ar shonraí thar spárs. Bhí na fostaithe ar cur san iúl ar an phróiseáil trí bhanna eolais ar bhunaithe ar an bhealach siníofa, agus ach ar chomhréir ar an tAirteagal 13 an RGPD.

Samhla 2: gréasán feanntúsachta ag fhógra ag síniú QES ar na gnáthaim ar bharrainneoir-laethanta

Bhí gréasán ar scaipeadh ar speisialtúchas speisiúil ar bheagnach seasca phointe díola agus ar bharr fiche céad ar bharrainneoir-laethanta ar bhagairt baol prud'homal ar a dtuairiscíonn dlíochta: bhí roinnt ar na gnáthaim ar bharrainneoir-laethanta ar ní fhéadfaí a chruthaigh ach ar bhealach ar choipeanna páipéir ar dhúchas geal. Bhraig an Cúirt Dheeireach Chúmhachtúil ar a crua ar na gá fianaise ar an chinneadh seo, bhraig an baol spréachúil ar ar báistir bheagán do sheacht gcéad míle euro.

Bhraig an gréasán ar bhinneasáil ar dhréachtúchán siníofa cáilithe (QES) ar na gnáthaim ar bharrainneoir-laethanta nua ar ar iarraidh ar na barrainneoir ar ar suíomh ar resigné ar a bhí gnáthaim ar bharrainneoir-laethanta a fhéadfadh cothromaíochta bheith ar bharrtha. Bhí an bhreacadh ar identity ar bhealach ar videofíordheimhniú á roghnú. Bhí an clár ar ghníomhaíochta próiseálta nuashonraithe, agus an bhraig an DPO seachtrach i gcomhréir RGPD ar bhealach siníofa. Ar bbaill laethanta, bhí an iomlán ar bharrainneoir-laethanta ar bhealach slán. Bhraig an chostas ar an dhréachtúchán (thart ar 15 go 25 € ar thásc QES i dteanga soláthraí an mhargaidh) a chur i bhfeidhm ar an bhealach is fearr ar an bhagairt spréachúil.

Samhla 3: bailiúchán ar dhéana ar a iarraidh ar bhillí agus ar charta theileobhaire

Bhraig bailiúchán ar dhéana den scála de bheagnach míle dhuas ar 200 ar gceannasaithe ar an toil ar shonraí ar dhéana air bhealach leictreonach ar bhean ar aon-aontú ar thodhchai náisiúnta de 2021 ar theileobhaire sa bhundseirbhís. Bhí