Obrigacións do prestador de sinatura electrónica en Francia

Introdución

Desplegar unha solución de sinatura electrónica en Francia non se improvisa. Tras cada sinatura cualificada ou avanzada agóchanse ducias de obrigacións legais que incumben ao prestador de servizos de confianza (PSCo). Regulamento eIDAS, RGPD, referencial xeral de seguridade, normas ETSI… o marco regulatorio é á vez denso e evolutivo. Para as empresas usuarias, comprender estas obrigacións legais prestador sinatura electrónica Francia eIDAS RGPD é indispensable co fin de elixir un socio conforme e evitar calquera risco xurídico. Este artigo detalha, sección por sección, o conxunto de exixencias aplicables aos PSCo que operan no territorio francés.

---

O estatuto de prestador de servizos de confianza cualificado

Que é un PSCo segundo eIDAS?

O regulamento eIDAS nº 910/2014 distingue dúas categorías de prestadores: os prestadores de servizos de confianza non cualificados e os prestadores cualificados (PSCQ). Os primeiros poden ofrecer servizos de sinatura electrónica simple ou avanzada sen auditoría de terceiros obrigatoria. Os segundos — únicos autorizados a entregar sinaturas cualificadas segundo o artigo 3(15) de eIDAS — deben satisfacer exixencias considerablemente máis estritas.

En Francia, é a Axencia Nacional de Seguridade dos Sistemas de Información (ANSSI) a que cumpre o papel de autoridade de supervisión (« Supervisory Body ») previsto polo artigo 17 de eIDAS. Publica e mantén a lista de confianza francesa (TSL — Trust Service List), accesible no seu sitio oficial, que relaciona os prestadores cualificados e os seus servizos.

O procedemento de cualificación: auditoría e conformidade

Para obter o estatuto cualificado, un PSCo debe obrigatoriamente:

• Facer auditar os seus servizos por un organismo de avaliación da conformidade (CAB — Conformity Assessment Body) acreditado polo COFRAC segundo a norma EN ISO/IEC 17065.

• Presentar o informe de auditoría á ANSSI, que determina a concesión do estatuto cualificado. Este estatuto é reavalidado cando menos cada 24 meses (artigo 20 §1 eIDAS).

• Notificar á ANSSI calquera cambio substancial nos seus servizos nun prazo de 3 meses antes da modificación prevista (artigo 21 eIDAS).

O incumprimento destas etapas expón o prestador a súa exclusión da TSL e á perda das presuncións xurídicas asociadas á sinatura cualificada. Para as empresas clientes, recurrir a un PSCo non listado na TSL equivale a non se beneficiar de ningunha presunción legal de fiabilidade.

> Para saber máis sobre os diferentes niveis de sinatura e os seus efectos xurídicos, consulte a nosa .

---

Obrigacións técnicas e de seguridade impostas aos PSCo

Cumprimento das normas ETSI

Os prestadores cualificados deben conformarse a un conxunto de normas europeas publicadas polo Instituto Europeo de Normas de Telecomunicacións (ETSI). As principais son:

• ETSI EN 319 401: exixencias xerais de seguridade aplicables a todos os PSCo.

• ETSI EN 319 411-1 e 411-2: políticas e prácticas das autoridades de certificación que expiden certificados de sinatura cualificada.

• ETSI EN 319 132: formatos de sinatura electrónica avanzada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122: formato CAdES para sinaturas cualificadas.

• ETSI TS 119 431: exixencias para servizos de creación de sinatura a distancia (QSCD remoto).

Estas normas non son optativas: o regulamento eIDAS (Anexo II, III e IV) facer referencia explícita para definir as exixencias mínimas dos certificados cualificados e dos dispositivos de creación de sinatura.

Xestión dos dispositivos seguros de creación de sinatura (QSCD)

Un dos piares da sinatura cualificada é a utilización dun dispositivo seguro de creación de sinatura (QSCD — Qualified Signature Creation Device) conforme ao Anexo II de eIDAS. O prestador debe garantir que:

• A clave privada do signatario non pode ser xerada, almacenada ou copiada fora do QSCD.

• A xeración da clave realizase exclusivamente nun ambiente certificado (certificación Common Criteria EAL 4+ ou equivalente).

• A autenticación do signatario anterior a calquera acto de sinatura repousa en cando menos dous factores de autenticación.

Nun contexto de sinatura a distancia — cada vez máis común nos ambientes SaaS — estas exixencias aplícanse ao servidor HSM (Hardware Security Module) que aloxxa as chaves. A ANSSI publicou perfís de protección específicos (PP-0075, PP-0076) que definen os criterios de seguridade a alcanzar.

Política de continuidade e notificación de incidentes

O artigo 19 de eIDAS impón a todo prestador de servizos de confianza (cualificado ou non) que:

• Notifique á autoridade de supervisión (ANSSI) e, se é o caso, á autoridade de protección de datos (CNIL), nas 24 horas seguintes á detección dun violation de seguridade susceptible de ter impacto na fiabilidade do servizo.

• Dispoña dun plan de continuidade de actividade documentado e probado regularmente.

• Dispoña dunha política de seguridade da información formalizada, que cubra en particular a xestión de riscos, a xestión de incidentes e a política de copia de seguridade.

Estas exixencias solápasen parcialmente coas da Directiva NIS2 (2022/2555/UE), transposida en dereito francés pola lei nº 2023-703 do 1 de agosto de 2023, que clasifica os PSCo de tamaño significativo entre as entidades importantes ou esenciais sometidas a obrigacións reforzadas de ciberseguridade.

> Descubra como a debe integrar estas restricións nos seus workflows documentarios.

---

Obrigacións RGPD específicas aos PSCo

O PSCo, responsable de tratamento ou encargado de tratamento?

A cualificación RGPD do prestador depende da natureza do servizo prestado:

• Cando o PSCo expide directamente certificados cualificados en nome do signatario e determina as finalidades do tratamento de datos personais (identidade, datos biométricos de autenticación), actúa como responsable de tratamento segundo o artigo 4(7) RGPD.

• Cando integra a súa API na plataforma dun cliente B2B e trata os datos personais segundo as únicas instrucións deste cliente, reviste a cualidade de encargado de tratamento (artigo 4(8) RGPD) e debe obrigatoriamente asinara un DPA (Data Processing Agreement) conforme ao artigo 28 RGPD.

Na práctica, a maioría dos PSCo SaaS acumulan ambas cualidades: responsable para a xestión da súa propia infraestrutura de certificación, encargado para o tratamento de documentos e metadatos dos signatarios.

Obrigacións específicas relacionadas cos datos biométricos e de identidade

A identificación e autenticación do signatario — etapa obrigatoria para expedir un certificado cualificado — implica a miúdo o tratamento de datos sensibles: escaneo de documento de identidade, video selfy, datos biométricos de recoñecemento facial. Estes datos constitúen datos persoais suxeitos ao RGPD, e mesmo datos biométricos suxeitos ao artigo 9 RGPD (categorías especiais).

As obrigacións do PSCo inclúen:

• Base legal: o consentimento explícito (artigo 9§2a) ou, nalgúns casos, a obriga legal (artigo 9§2b) para o tratamento de datos biométricos.

• Duración de conservación limitada: segundo as directrices CNIL, os datos de identificación deben conservarse o tempo estrictamente necesario, xeralmente aliñado coa duración de validez do certificado + duración legal de proba (a miúdo 10 anos para os actos de asento privado, artigo 2224 do Código Civil).

• Análise de impacto (AIPD) obrigatoria (artigo 35 RGPD) desde o momento en que o tratamento sexa susceptible de xerar un risco elevado — o que é sistematicamente o caso da biometría.

• Rexistro dos tratamentos (artigo 30 RGPD) mantido actualizado e documentando cada categoría de tratamento.

Transferencias internacionais de datos

Moitos PSCo aloxan todo ou parte da súa infraestrutura fóra do Espazo Económico Europeo (EEE). Nese caso, as garantías apropiadas esixidas polo capítulo V RGPD se impón: decisión de adecuación, cláusulas contractuais tipo (SCCs) da Comisión Europea ou normas corporativas vinculantes (BCR). A sentenza Schrems II (CXUE, C-311/18, 16 de xullo de 2020) recordou que as transferencias cara aos Estados Unidos requiren unha análise previa do risco país.

> Para comprender o impacto destas regras na súa organización, consulte a nosa .

---

Obrigacións de transparencia e información aos usuarios

Política de certificación (PC) e declaración das prácticas de certificación (DPC)

Todo PSCo que expide certificados está obrigado a publicar unha Política de Certificación (PC) e unha Declaración das Prácticas de Certificación (DPC), conforme á norma ETSI EN 319 411. Estes documentos, accesibles libremente, detallan:

• Os procedementos de identificación e rexistro dos signatarios.

• As medidas de seguridade física e lóxica despregadas.

• As condicións de revogación de certificados e os prazos asociados.

• As responsabilidades e limitacións de garantía do PSCo.

A ausencia ou incompletude destes documentos constitúe unha non-conformidade susceptible de ser detectada durante a auditoría de recualificación polo organismo acreditado.

Información precontractual e contractual dos clientes

Máis alá das obrigacións estrictamente técnicas, o artigo 13 RGPD impón ao PSCo proporcionar a cada persoa cuxos datos son recollidos información clara e accesible sobre:

• A identidade do responsable de tratamento e as coordenadas do DPO (obrigatorio para os PSCo que tratan a gran escala datos sensibles, artigo 37 RGPD).

• As finalidades e bases legais de cada tratamento.

• Os dereitos das persoas (acceso, rectificación, cancelación, portabilidade, oposición).

• Os eventuais destinatarios dos datos (encargados de tratamento, autoridades).

Esta información debe figurar na política de privacidade do servizo, nas CGU e, se é o caso, no DPA concluído cos clientes profesionais.

Horodataxe cualificada e rasto de auditoría

Para garantir o valor probatorio a longo prazo das sinaturas, os PSCo serios asocian sistematicamente un horodataxe electrónica cualificada (artigo 42 eIDAS) a cada acto asinado. Este horodataxe constitúe unha proba legalmente presumida da existencia do dato na data indicada. A conservación do rasto de auditoría (logs de identificación, emprentas do documento, datos da sinatura) é unha obrigación de feito para permitir calquera verificación xudicial posterior.

> Compare as solucións do mercado segundo estes criterios na nosa .

---

eIDAS 2.0: as novas obrigacións no horizonte 2026-2027

O regulamento eIDAS 2.0 (UE) 2024/1183

Publicado no Xornal Oficial da UE o 30 de abril de 2024, o regulamento (UE) 2024/1183 chamado «eIDAS 2.0» refuerza significativamente as obrigacións dos PSCo arredor de tres eixes:

• A Carteira Europea de Identidade Dixital (EUDI Wallet): os Estados membros deben poñer a disposición unha carteira de identidade dixital certificada antes do 2 de novembro de 2026. Os PSCo deberán integrar o seu servizo con esta carteira para ofrecer sinaturas cualificadas vía identidade eIDAS 2.0.

• A xestión de atestados de atributos: eIDAS 2.0 introduce os atestados de atributos cualificados (QEAAs), expedidos por prestadores cualificados de atestación. Aplicaranse novos procedementos de auditoría e de cualificación.

• O reforzamento da supervisión: as autoridades nacionais de supervisión (ANSSI para Francia) ven os seus poderes ampliados, en particular a capacidade de diligenciar auditorías sorpresa e de inflixir medidas correctoras vinculantes en prazos reducidos.

Implicacións prácticas para os prestadores actuais

Os PSCo xa cualificados baixo eIDAS 1.0 deberán proceder a unha posta en conformidade progresiva antes das datas fixadas polos actos de execución da Comisión (publicados ou en proceso de publicación). As principais adaptacións afectan:

• A refundación da infraestrutura de identificación para soportar a EUDI Wallet como medio de autenticación.

• A actualización das PC/DPC para integrar as novas tipoloxías de certificados e de atestados.

• O reforzamento das exixencias de seguridade dos QSCD remotos, con novos perfís de protección por chegar.

Para as empresas clientes, isto significa verificar xa hoxe que o seu prestador dispón dunha roadmap de conformidade eIDAS 2.0 documentada e verificable.

Marco legal aplicable ás obrigacións dos prestadores de sinatura electrónica

A cadea normativa aplicable aos prestadores de sinatura electrónica que operan en Francia articúlase en varios niveis xerárquicos complementarios.

Código Civil francés — Artigos 1366 e 1367

O artigo 1366 do Código Civil recoñece a escrita electrónica como medio de proba equivalente á escrita en papel, coa condición de que « poida ser debidamente identificada a persoa de quen emana e que sexa establecido e conservado en condicións de natureza a garantir a súa integridade ». O artigo 1367 precisa que a sinatura electrónica « consiste no uso dun procedemento fiable de identificación que garanta o seu vínculo co acto ao que se une ». A presunción de fiabilidade beneficia as sinaturas cualificadas segundo eIDAS, invertendo a carga da proba a favor do signatario.

Regulamento eIDAS nº 910/2014/UE

Este regulamento, de aplicación directa en todos os Estados membros, establece o marco xurídico dos servizos de confianza. O seu artigo 26 define as condicións da sinatura electrónica avanzada; o seu artigo 28 as exixencias dos certificados cualificados; o seu Anexo I detalla o contido obrigatorio destes certificados. Os PSCo cualificados benefícense dunha presunción de conformidade coas exixencias técnicas e xurídicas do regulamento (artigo 19§2), o que constitúe unha vantaxe importante en caso de litigio.

Regulamento eIDAS 2.0 — (UE) 2024/1183

Publicado o 30 de abril de 2024, este regulamento modificativo introduce novas categorías de servizos de confianza (atestados de atributos cualificados, servizos de arquivo cualificados) e refuerza as obrigacións de supervisión. Deroga e substitúe parcialmente o regulamento 910/2014, cunha aplicabilidade progresiva segundo os actos de execución da Comisión Europea.

RGPD — Regulamento (UE) 2016/679

O RGPD aplícase a todo tratamento de datos personais realizado no contexto dun servizo de sinatura electrónica. Os artigos 5 (principios de legalidade), 6 (base legal), 9 (datos sensibles), 13-14 (información), 28 (encargado de tratamento), 32 (seguridade), 33-34 (notificación de violación), 35 (AIPD) e 37 (DPO) constitúen as disposicións máis frecuentemente aplicables. A CNIL é a autoridade de control competente en Francia e pode inflixir multas de ata 20 millóns de euros ou 4 % do facturación mundial anual (artigo 83§5 RGPD).

Directiva NIS2 — (UE) 2022/2555

Transposida en dereito francés pola lei nº 2023-703 do 1 de agosto de 2023, NIS2 clasifica os PSCo significativos entre as entidades importantes ou esenciais sometidas a obrigacións de xestión de riscos ciber e de notificación de incidentes á ANSSI en 24 horas (alerta temperá) e despois en 72 horas (notificación completa).

Normas ETSI

O conxunto das normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 e TS 119 431 constitúe a referencia técnica obrigatoria para a auditoría de cualificación. O non cumprimento causa a imposibilidade de obter ou manter o estatuto cualificado.

Riscos xurídicos en caso de non-conformidade

Un prestador non conforme encárase a: exclusión da TSL francesa, compromiso da súa responsabilidade contractual e extracontractual, sancións administrativas CNIL, multas NIS2 que poden acadar 10 millóns de euros ou 2 % da facturación mundial para entidades importantes e 20 millóns ou 4 % da facturación para entidades esenciais, así como a accións xudiciais dos clientes que sofreron un prexuízo debido a sinaturas xurídicamente non válidas.

Escenarios de uso: como as empresas verifican a conformidade do seu PSCo

Escenario 1 — Un grupo industrial xestionando 3 000 contratos de proveedores anualmente

Un grupo industrial de tamaño intermedio (ETI), activo na fabricación de equipos mecánicos, desmaterializa o conxunto dos seus contratos de proveedores mediante unha plataforma SaaS de sinatura electrónica. Durante unha auditoría interna desencadeada tras unha evolución regulatoria, a dirección xurídica constata que o prestador retido — inicialmente escollido por criterio de prezo — non aparece referenciado nin na TSL francesa nin en ningunha TSL europea. As sinaturas expedidas son de tipo «simple» sen mecanismo de identificación robusta do signatario.

Fronte ao risco xurídico — o conxunto dos contratos asinados podería ver contestada a súa validez probatoria en caso de litigio — a empresa emprende unha migración cara a un PSCo cualificado ANSSI. A nova solución integra unha sinatura avanzada con certificado cualificado, un horodataxe cualificado e un rasto de auditoría exportable. O proxecto de migración, realizado en menos de 8 semanas, permite asegurar retroactivamente os novos actos e establecer unha política documentaria conforme. Os equipos xurídicos estiman que o risco contencioso vinculado aos antigos contratos permanece marxinal polo feito da súa execución sen contestación, pero toda nova sinatura está agora cuberta.

Ganancias observadas: redución do 60 % dos litixios potenciais relacionados coa autenticidade das sinaturas, e ganancia de 3,5 días de prazo medio de sinatura nos contratos complexos grazas á automatización do workflow de validación.

Escenario 2 — Un despacho de avogados de 25 colaboradores especializado en dereito dos negocios

Un despacho de avogados que desexxa dixitalizar a sinatura de mandatos, de consultas e de actos de procedemento avalia varios prestadores. A súa grella de análise integra os seguintes criterios: presenza na TSL, publicación dunha PC/DPC accesible, existencia dun DPA conforme RGPD, dispoñibilidade dun DPO contactable e certificación dos QSCD remotos.

De cinco prestadores avaliados, dous únicamente satisfán o conxunto dos criterios. O despacho retén finalmente un PSCo que ofrece nativamente unha sinatura cualificada mediante QSCD remoto, garantindo a presunción de fiabilidade do artigo 1367 do Código Civil. A implantación leva 3 semanas, formación incluída. Resultado: 75 % dos mandatos son agora asinados en menos de 24 horas contra 5 a 7 días anteriormente (envío postal), e o despacho pode xustificar aos seus clientes o nivel de seguridade xurídica ofrecido pola solución — un argumento diferenciador nas súas propostas comerciais.

Escenario 3 — Un agrupamento hospitalario de aproximadamente 1 200 camas

Un agrupamento hospitalario público desexxa desmaterializar os contratos de traballo, as convencións de prácticas e os acordos de asociación con establecementos de coidados partenarios. A sensibilidade dos datos tratados (datos de saúde do persoal sanitario, datos RRHH) impón unha vixilancia particular sobre as obrigacións RGPD do PSCo.

A DSI e o DPO do establecemento exixen: aloxamento dos datos en Francia nun aloxador de datos de saúde certificado HDS (Aloxador de Datos de Saúde, certificación prevista polo artigo L.1111-8 do Código da Saúde Pública), ausencia de transferencia fóra do EEE, AIPD documentada para o tratamento de identificación dos signatarios, e DPA asinado antes de calquera posta en produción.

Tras a selección dun PSCo que responda a estes criterios, o despliegue cobre en prioridade os contratos RRHH (aproximadamente 800 actos anualmente). O prazo medio de sinatura dos contratos por tempo determinado pasa de 9 días a menos de 48 horas, liberando unha capacidade significativa para os equipos de recursos humanos. O establecemento dispón alén disto dunha rastreabilidade completa dos consentimentos recollidos, auditados anualmente polo seu DPO.

Conclusión

As obrigacións legais que pesan sobre os prestadores de sinatura electrónica en Francia forman un corpus normativo esixente: cualificación eIDAS, conformidade RGPD, respecto das normas ETSI, obrigacións NIS2 e adaptación inminente a eIDAS 2.0. Para as empresas usuarias, asegurar a conformidade do seu PSCo non é unha iniciativa optativa — é unha condición sine qua non da validez probatoria dos actos asinados e da protección dos datos persoais dos signatarios.

Certyneo é un prestador de sinatura electrónica deseñado para responder ao conxunto destas exixencias: conformidade eIDAS, RGPD by design, aloxamento soberano e roadmap eIDAS 2.0 documentada. Listo para asegurar as súas sinaturas en total conformidade? e benefíciate dun acompañamento personalizado desde o primeiro día.