Obligacións do prestador de sinatura electrónica en Francia

Introdución

Desplegar unha solución de sinatura electrónica en Francia non se improvisa. Detrás de cada sinatura cualificada ou avanzada se agochar decenas de obligacións legales que incumplen ao prestador de servizos de confianza (PSCo). Regulamento eIDAS, RGPD, referencial xeral de seguridade, normas ETSI… o marco regulatorio é a un tempo denso e evolutivo. Para as empresas usuarias, comprender estas obligacións legais prestador sinatura electrónica Francia eIDAS RGPD é indispensable a fin de escoller un socio conforme e evitar calquera risco xurídico. Este artigo detalla, sección por sección, o conxunto das exixencias aplicables aos PSCo operando no territorio francés.

---

O estatuto de prestador de servizos de confianza cualificado

Que é un PSCo ao senso d'eIDAS?

O regulamento eIDAS nº 910/2014 distingue dúas categorías de prestadores: os prestadores de servizos de confianza non cualificados e os prestadores cualificados (PSCQ). Os primeiros poden propoñer servizos de sinatura electrónica simple ou avanzada sen auditoría terceira obrigatoria. Os segundos — únicos autorizados a entregar sinaturas cualificadas ao senso do artigo 3(15) d'eIDAS — deben satisfacer a exixencias considerablemente máis estritas.

En Francia, é a Axencia Nacional da Seguridade dos Sistemas d'Información (ANSSI) a que cumpre o papel d'autoridade de supervisión (« Supervisory Body ») previsto polo artigo 17 d'eIDAS. Publica e mantén a lista de confianza francesa (TSL — Trust Service List), accesible no seu sitio oficial, que recensa os prestadores cualificados e os seus servizos.

O procedemento de cualificación: auditoría e conformidade

Para obter o estatuto cualificado, un PSCo debe obrigatoriamente:

• Facer auditados os seus servizos por un organismo de avaliación da conformidade (CAB — Conformity Assessment Body) acreditado polo COFRAC segundo a norma EN ISO/IEC 17065.

• Someter o informe de auditoría á ANSSI, que decide sobre a concesión do estatuto cualificado. Este estatuto é reevaluado polo menos cada 24 meses (artigo 20 §1 eIDAS).

• Notificar á ANSSI calquera cambio substancial nos seus servizos nun prazo de 3 meses antes da modificación prevista (artigo 21 eIDAS).

O incumprimento destas etapas expón o prestador a unha radiación da TSL e á perda das presuncións xurídicas anexas á sinatura cualificada. Para as empresas clientes, recurrir a un PSCo non listado na TSL equivale a non beneficiarse de ningunha presunción legal de fiabilidade.

> Para ir máis lonxe sobre os diferentes niveis de sinatura e os seus efectos xurídicos, consulta o noso guía completo do regulamento eIDAS 2.0.

---

Obligacións técnicas e de seguridade impostas aos PSCo

Respecto das normas ETSI

Os prestadores cualificados deben conformarse a un conxunto de normas europeas publicadas polo European Telecommunications Standards Institute (ETSI). As principais son:

• ETSI EN 319 401: exixencias xerais de seguridade aplicables a todos os PSCo.

• ETSI EN 319 411-1 e 411-2: políticas e prácticas das autoridades de certificación que entregan certificados de sinatura cualificada.

• ETSI EN 319 132: formatos de sinatura electrónica avanzada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122: formato CAdES para as sinaturas cualificadas.

• ETSI TS 119 431: exixencias para os servizos de creación de sinatura a distancia (QSCD distante).

Estas normas non son opcionais: o regulamento eIDAS (Anexo II, III e IV) remite a elas explicitamente para definir as exixencias mínimas dos certificados cualificados e dos dispositivos de creación de sinatura.

Xestión dos dispositivos seguros de creación de sinatura (QSCD)

Un dos pilares da sinatura cualificada é o uso dun dispositivo seguro de creación de sinatura (QSCD — Qualified Signature Creation Device) conforme ao Anexo II d'eIDAS. O prestador debe garantir que:

• A chave privada do signatario non pode ser xerada, almacenada ou copiada fora do QSCD.

• A xeración da chave faísee exclusivamente nun ambiente certificado (certificación Common Criteria EAL 4+ ou equivalente).

• A autenticación do signatario precedendo a calquera acto de sinatura repousa en polo menos dous factores de autenticación.

Nun contexto de sinatura a distancia — cada vez máis estendido nos ambientes SaaS — estas exixencias aplícanse ao servidor HSM (Hardware Security Module) que alberga as chaves. A ANSSI publicou perfís de protección específicos (PP-0075, PP-0076) que definen os criterios de seguridade a alcanzar.

Política de continuidade e notificación de incidentes

O artigo 19 d'eIDAS impón a todo prestador de servizos de confianza (cualificado ou non) de:

• Notificar á autoridade de supervisión (ANSSI) e, se é o caso, á autoridade de protección de datos (CNIL), nas 24 horas seguinte á detección dunha violación de seguridade susceptible de ter un impacto na fiabilidade do servizo.

• Ter un plan de continuidade de actividade documentado e probado regularmente.

• Dispoñer dunha política de seguridade da información formalizada, que cubra nomeadamente a xestión de riscos, a xestión de incidentes e a política de copia de seguridade.

Estas exixencias coinciden parcialmente coas da directiva NIS2 (2022/2555/UE), trasposta ao dereito francés pola lei nº 2023-703 do 1 de agosto de 2023, que clasifica os PSCo de tamaño significativo entre as entidades importantes ou esenciais sometidas a obligacións reforzadas de ciberseguridade.

> Descubre como a sinatura electrónica para os despachos de avogados debe integrar estas restricións nos seus fluxos documentarios.

---

Obligacións RGPD específicas aos PSCo

O PSCo, responsable do tratamento ou subcontratista?

A cualificación RGPD do prestador depende da natureza do servizo prestado:

• Cando o PSCo entrega directamente certificados cualificados en nome do signatario e determina as finalidades do tratamento de datos personais (identidade, datos biométricos de autenticación), actúa como responsable do tratamento ao senso do artigo 4(7) RGPD.

• Cando integra a súa API na plataforma dun cliente B2B e trata os datos personais segundo as únicas instrucións deste cliente, reviste a calidade de subcontratista (artigo 4(8) RGPD) e debe obrigatoriamente concluír un DPA (Data Processing Agreement) conforme ao artigo 28 RGPD.

En práctica, a maioría dos PSCo SaaS acumulan as dúas cualidades: responsable para a xestión da súa propia infraestrutura de certificación, subcontratista para o tratamento dos documentos e metadatos dos signatarios.

Obligacións específicas vinculadas aos datos biométricos e de identidade

A identificación e autenticación do signatario — etapa obrigatoria para entregar un certificado cualificado — implica frecuentemente o tratamento de datos sensibles: escaneo de documento de identidade, selfie en vídeo, datos biométricos de recoñecemento facial. Estes datos constitúen datos de carácter persoal sometidos ao RGPD, ou mesmo datos biométricos supeditados ao artigo 9 RGPD (categorías especiais).

As obligacións do PSCo inclúen:

• Base legal: o consentimento explícito (artigo 9§2a) ou, nalgúns casos, a obriga legal (artigo 9§2b) para o tratamento dos datos biométricos.

• Duración de conservación limitada: segundo as liñas directrices CNIL, os datos de identificación deben conservarse o tempo estrictamente necesario, xeralmente aliñado coa duración de validez do certificado + duración legal de proba (frecuentemente 10 anos para os actos baixo sinadura privada, artigo 2224 do Código Civil).

• Análise de impacto (AIPD) obrigatoria (artigo 35 RGPD) desde o momento en que o tratamento é susceptible de eneaxar un risco elevado — o que é sistematicamente o caso para a biometría.

• Rexistro dos tratamentos (artigo 30 RGPD) mantido ao día e documentando cada categoría de tratamento.

Transferencias internacionais de datos

Numerosos son os PSCo que albergan todo ou parte da súa infraestrutura fora do Espazo Económico Europeo (EEE). Neste caso, as garantías apropiadas esixidas polo capítulo V RGPD impóñense: decisión de adecuación, cláusulas contractuais tipo (SCCs) da Comisión europea ou regras de empresa vinculantes (BCR). A sentenza Schrems II (TJUE, C-311/18, 16 de xullo de 2020) recordou que as transferencias aos Estados Unidos requiren unha análise de risco país previa.

> Para comprender o impacto destas regras na túa organización, consulta o noso guía sobre a sinatura electrónica en empresa.

---

Obligacións de transparencia e información aos usuarios

Política de certificación (PC) e declaración das prácticas de certificación (DPC)

Todo PSCo que entrega certificados está obrigado a publicar unha Política de Certificación (PC) e unha Declaración das Prácticas de Certificación (DPC), conforme á norma ETSI EN 319 411. Estes documentos, libremente accesibles, detallan:

• Os procedementos de identificación e rexistro dos signatarios.

• As medidas de seguridade físicas e lóxicas despregadas.

• As condicións de revogación dos certificados e os prazos asociados.

• As responsabilidades e limitacións de garantía do PSCo.

A ausencia ou incompletude destes documentos constitúe unha non-conformidade susceptible de ser relevada durante a auditoría de recualificación polo organismo acreditado.

Información precontractual e contractual dos clientes

Máis alá das obligacións puramente técnicas, o artigo 13 RGPD impón ao PSCo de proporcionar a cada persoa cuxos datos son recollidos unha información clara e accesible sobre:

• A identidade do responsable do tratamento e as coordenadas do DPO (obrigatoria para os PSCo que tratan a gran escala datos sensibles, artigo 37 RGPD).

• As finalidades e bases legais de cada tratamento.

• Os dereitos das persoas (acceso, rectificación, supresión, portabilidade, oposición).

• Os eventuais destinatarios dos datos (subcontratistas, autoridades).

Estas informacións deben figurar na política de confidencialidade do servizo, nas CGU e, se é o caso, no DPA concluído cos clientes profesionais.

Marcaxe temporal cualificada e pista de auditoría

Para garantir o valor probatorio a longo prazo das sinaturas, os PSCo serios asocian sistematicamente unha marcaxe temporal electrónica cualificada (artigo 42 eIDAS) a cada acto asinado. Esta marcaxe temporal constitúe unha proba legalmente presumida da existencia da dato na data indicada. A conservación da pista de auditoría (rexistros de identificación, impronta do documento, datos da sinatura) é unha obligación de feito para permitir calquera verificación xudicial ulterior.

> Compara as solucións do mercado segundo estes criterios no noso comparativo das solucións de sinatura electrónica.

---

eIDAS 2.0: as novas obligacións no horizonte 2026-2027

O regulamento eIDAS 2.0 (UE) 2024/1183

Publicado no Diario Oficial da UE o 30 de abril de 2024, o regulamento (UE) 2024/1183 dito « eIDAS 2.0 » refuerza significativamente as obligacións dos PSCo arredor de tres eixes:

• O Portafolio Europeo de Identidade Dixital (EUDI Wallet): os Estados membros deben poñer á disposición un portafolio de identidade dixital certificado antes do 2 de novembro de 2026. Os PSCo deberán integrar o seu servizo con este portafolio para propoñer sinaturas cualificadas vía a identidade eIDAS 2.0.

• A xestión das atestacións de atributos: eIDAS 2.0 introduce as atestacións de atributos cualificadas (QEAAs), entregadas por prestadores cualificados de atestación. Novas procedementos de auditoría e cualificación aplícanse.

• O refuerzo da supervisión: as autoridades nacionais de supervisión (ANSSI para Francia) ven os seus poderes ampliados, nomeadamente a capacidade de diligenciar auditorías inopinadas e de impoñer medidas correctoras vinculantes en prazos acurtados.

Implicacións prácticas para os prestadores actuais

Os PSCo xa cualificados baixo eIDAS 1.0 deberán proceder a unha posta en conformidade progresiva antes das datas límite fixadas polos actos de execución da Comisión (publicados ou en curso de publicación). As principais adaptacións concirnen:

• A refondición da infraestrutura de identificación para soportar o EUDI Wallet como medio de autenticación.

• A actualización das PC/DPC para integrar as novas tipololoxías de certificados e atestacións.

• O refuerzo das exixencias de seguridade dos QSCD distantes, con novos perfís de protección por vir.

Para as empresas clientes, isto significa verificar dende hoxe que o seu prestador dispón dunha roadmap de conformidade eIDAS 2.0 documentada e verificable.

Marco legal aplicable ás obligacións dos prestadores de sinatura electrónica

A cadea normativa aplicable aos prestadores de sinatura electrónica que operan en Francia articúlase sobre varios niveis xerárquicos complementarios.

Código Civil francés — Artigos 1366 e 1367

O artigo 1366 do Código Civil recoñece o escrito electrónico como modo de proba equivalente ao escrito papel, sempre que « poida ser debidamente identificada a persoa de quen emana e que sexa establecido e conservado en condicións de natureza a garantir a súa integridade ». O artigo 1367 precisa que a sinatura electrónica « consiste no uso dun procedemento fiable de identificación garantindo a súa ligazón co acto ao que se adxunta ». A presunción de fiabilidade beneficia ás sinaturas cualificadas ao senso d'eIDAS, invertendo a carga da proba a favor do signatario.

Regulamento eIDAS nº 910/2014/UE

Este regulamento, de aplicación directa en todos os Estados membros, establece o marco xurídico dos servizos de confianza. O seu artigo 26 define as condicións da sinatura electrónica avanzada; o seu artigo 28 as exixencias dos certificados cualificados; o seu Anexo I detalla o contido obrigatorio destes certificados. Os PSCo cualificados benefician dunha presunción de conformidade coas exixencias técnicas e xurídicas do regulamento (artigo 19§2), o que constitúe un atavo importante en caso de litigio.

Regulamento eIDAS 2.0 — (UE) 2024/1183

Publicado o 30 de abril de 2024, este regulamento modificativo introduce novas categorías de servizos de confianza (atestacións de atributos cualificadas, servizos de arquivo cualificados) e refuerza as obligacións de supervisión. Abroga e substitúe parcialmente o regulamento 910/2014, con aplicabilidade progresiva segundo os actos de execución da Comisión europea.

RGPD — Regulamento (UE) 2016/679

O RGPD aplícase a todo tratamento de datos personais realizado no marco dun servizo de sinatura electrónica. Os artigos 5 (principios de legalidade), 6 (base legal), 9 (datos sensibles), 13-14 (información), 28 (subcontratación), 32 (seguridade), 33-34 (notificación de violación), 35 (AIPD) e 37 (DPO) constitúen as disposicións máis frecuentemente aplicables. A CNIL é a autoridade de control competente en Francia e pode impor multas ata 20 millóns de euros ou 4 % da facturación mundial anual (artigo 83§5 RGPD).

Directiva NIS2 — (UE) 2022/2555

Trasposta ao dereito francés pola lei nº 2023-703 do 1 de agosto de 2023, NIS2 clasifica os PSCo significativos entre as entidades importantes ou esenciais sometidas a obligacións de xestión dos riscos ciber e de notificación de incidentes á ANSSI baixo 24 horas (alerta temperá) e despois 72 horas (notificación completa).

Normas ETSI

O conxunto das normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 e TS 119 431 constitúe a referencia técnica obrigatoria para a auditoría de cualificación. O seu incumprimento implica a imposibilidade de obter ou manter o estatuto cualificado.

Riscos xurídicos en caso de non-conformidade

Un prestador non conforme exponse a: radiación da TSL francesa, comprometimento da súa responsabilidade contractual e extracontractual, sancións administrativas CNIL, multas NIS2 que poden alcanzar 10 millóns de euros ou 2 % da facturación mundial para as entidades importantes e 20 millóns ou 4 % da facturación para as entidades esenciais, así como a recorsos xudiciais dos clientes que sofreron un prexuízo debido a sinaturas non válidas xurídicamente.

Escenarios de uso: cómo as empresas verifican a conformidade do seu PSCo

Escenario 1 — Un grupo industrial xestionando 3 000 contratos fornecedores por ano

Un grupo industrial de tamaño intermedio (PEME), activo na fabricación de equipos mecánicos, desmaterializa o conxunto dos seus contratos fornecedores vía unha plataforma SaaS de sinatura electrónica. Durante unha auditoría interna desencadeada despois dunha evolución regulatoria, a dirección xurídica constata que o prestador retido — inicialmente escollido por criterio de prezo — non está referenciado nin na TSL francesa, nin en ningunha TSL europea. As sinaturas entregadas son de tipo « simple » sen mecanismo de identificación robusto do signatario.

Fronte ao risco xurídico — o conxunto dos contratos asinados podería ver a súa valor probatorio contestada en caso de litigio — a empresa compromete unha migración cara a un PSCo cualificado ANSSI. A nova solución integra unha sinatura avanzada con certificado cualificado, unha marcaxe temporal cualificada e unha pista de auditoría exportable. O proxecto de migración, realizado en menos de 8 semanas, permite asegurar rétro-activamente os novos actos e establecer unha política documentaria conforme. Os equipos xurídicos estiman que o risco contencioso vinculado aos antigos contratos permanece marxinal debido á súa execución sen contestación, pero toda nova sinatura está dende agora cuberta.

Ganancias observadas: redución do 60 % dos litigios potenciais vinculados á autenticidade das sinaturas, e ganancia de 3,5 días de prazo medio de sinatura nos contratos complexos grazas á automatización do fluxo de validación.

Escenario 2 — Un despacho de avogados de 25 colaboradores especializado en dereito mercantil

Un despacho de avogados desexa dixitalizar a sinatura dos mandatos, das consultas e dos actos de procedemento e avalia varios prestadores. A súa grelha de análise integra os seguintes criterios: presenza na TSL, publicación dunha PC/DPC accesible, existencia dun DPA conforme RGPD, dispoñibilidade dun DPO contactable e certificación dos QSCD distantes.

Sobre cinco prestadores evaluados, dous únicamente satisfan o conxunto dos criterios. O despacho retén finalmente un PSCo que ofrece nativamente unha sinatura cualificada vía QSCD distante, garantindo a presunción de fiabilidade do artigo 1367 do Código Civil. A implantación toma 3 semanas, formación incluída. Resultado: 75 % dos mandatos son dende agora asinados en menos de 24 horas contra 5 a 7 días anteriormente (envío postal), e o despacho pode xustificar aos seus clientes o nivel de seguridade xurídica ofrecido pola solución — un argumento diferenciador nas súas propostas comerciais.

Escenario 3 — Un agrupamento hospitalario de uns 1 200 leitos

Un agrupamento hospitalario público desexaba desmaterializar os contratos de traballo, as convencións de prácticas e os acordos de asociación con establecementos de coidados partneres. A sensibilidade dos datos tratados (datos de saúde dos persoais sanitarios, datos RH) impón unha vixilancia particular sobre as obligacións RGPD do PSCo.

A DSI e o DPO do establecemento exixen: albergamento dos datos en Francia nun hospedeiro de datos de saúde certificado HDS (Hospedeiro de Datos de Saúde, certificación prevista polo artigo L.1111-8 do Código de Saúde Pública), ausencia de transferencia fora EEE, AIPD documentada para o tratamento de identificación dos signatarios, e DPA asinado antes de calquera posta en produción.

Despois da selección dun PSCo respondendo a estes criterios, o despregamento cobre en prioridade os contratos RH (uns 800 actos por ano). O prazo medio de sinatura dos contratos a duración determinada pasa de 9 días a menos de 48 horas, liberando unha capacidade significativa para os equipos de recursos humanos. O establecemento dispón tamén duna trazabilidade completa dos consentimentos recollidos, auditada anualmente polo seu DPO.

Conclusión

As obligacións legais que pesan sobre os prestadores de sinatura electrónica en Francia forman un corpus normativo esixente: cualificación eIDAS, conformidade RGPD, respecto das normas ETSI, obligacións NIS2 e adaptación inminente a eIDAS 2.0. Para as empresas usuarias, asegurar a conformidade do seu PSCo non é unha traxectoria opcional — é unha condición sine qua non do valor probatorio dos actos asinados e da protección dos datos personais dos signatarios.

Certyneo é un prestador de sinatura electrónica deseñado para responder ao conxunto destas exixencias: conformidade eIDAS, RGPD by design, albergamento soberano e roadmap eIDAS 2.0 documentada. Listo para asegurar as túas sinaturas en total conformidade? Solicita unha demostración ou crea a túa conta en Certyneo e benefíciate dun acompañamento personalizado dende o primeiro día.