Obveze davatelja usluga elektroničkog potpisivanja u Francuskoj

Uvod

Pokretanje rješenja za elektronički potpisivanje u Francuskoj nije improvizacija. Iza svakog kvalificiranog ili naprednog potpisa kriju se deseci pravnih obveza koje padaju na davatelja usluga pouzdanog servisa (PSCo). Uredba eIDAS, GDPR, opći referentni okvir sigurnosti, norme ETSI… regulatorni okvir je istodobno gust i dinamičan. Za korisnike poduzeće, razumijevanje tih pravnih obveza davatelja elektroničkog potpisivanja u Francuskoj eIDAS GDPR je neophodno kako bi se odabrao konfomni partner i izbjegao svaki pravni rizik. Ovaj članak detaljno, odjeljak po odjeljak, objašnjava sve zahtjeve primjenjive na PSCo koji posluju na francuskom području.

---

Položaj davatelja usluga pouzdanog servisa s kvalifikacijom

Što je PSCo prema eIDAS?

Uredba eIDAS br. 910/2014 razlikuje dvije kategorije davatelja: davatelje usluga pouzdanog servisa bez kvalifikacije i kvalificirane davatelje (PSCQ). Prvi mogu pružati usluge elektroničkog potpisivanja jednostavnog ili naprednog bez obaveznog revizije trećih strana. Drugi — jedini ovlašteni isporučiti kvalificirane potpise prema članku 3(15) eIDAS — moraju ispuniti znatno stroža ista.

U Francuskoj, Nacionalna agencija za sigurnost informatičkih sustava (ANSSI) obavlja ulogu nadzorne vlasti („Supervisory Body") predviđene člankom 17 eIDAS. Objavljuje i održava francusku listu povjerenja (TSL — Trust Service List), dostupnu na svojoj službenoj stranici, koja navodi kvalificirane davatelje i njihove usluge.

Postupak kvalifikacije: revizija i sukladnost

Kako bi stekao kvalificirani status, PSCo mora obvezatno:

• Dobiti reviziju svojih usluga od strane akreditiranog tijela za procjenu sukladnosti (CAB — Conformity Assessment Body) od strane COFRAC prema normi EN ISO/IEC 17065.

• Poslati izvještaj o reviziji ANSSI, koja odlučuje o dodjeli kvalificiranog statusa. Taj status se ponovno procjenjuje najmanje svake 24 mjeseca (članak 20 §1 eIDAS).

• Obavijestiti ANSSI o svakoj supstancijalnoj promjeni u svojim uslugama u roku od 3 mjeseca prije planirane izmjene (članak 21 eIDAS).

Nepoštivanje tih koraka izlaže davatelja brisanju s TSL i gubitku pravnih pretpostavki vezanih uz kvalificirani potpis. Za klijentske tvrtke, korištenje PSCo koji nije naveden na TSL znači da nema nikakve pravne pretpostavke pouzdanosti.

> Za detaljnije informacije o različitim razinama potpisivanja i njihovim pravnim učincima, pogledajte naš vodič.

---

Tehnički zahtjevi i zahtjevi sigurnosti namijenjeni PSCo

Poštivanje normi ETSI

Kvalificirani davatelji moraju biti u skladu s nizom evropskih normi koje je objavio Europski institut za telekomunikacijske norme (ETSI). Glavne su:

• ETSI EN 319 401: opći zahtjevi sigurnosti primjenjivi na sve PSCo.

• ETSI EN 319 411-1 i 411-2: politike i praksa tijela certifikacije koja isporučuju certifikate kvalificiranog potpisivanja.

• ETSI EN 319 132: formati naprednog elektroničkog potpisivanja (XAdES za XML, PAdES za PDF, CAdES za CMS).

• ETSI EN 319 122: format CAdES za kvalificirane potpise.

• ETSI TS 119 431: zahtjevi za usluge daljinskog stvaranja potpisa (udaljeni QSCD).

Te norme nisu opcionalne: uredba eIDAS (Prilozi II, III i IV) na njih izričito poziva kako bi definirala minimalne zahtjeve za kvalificirane certifikate i uređaje za stvaranje potpisa.

Upravljanje kvalificiranim uređajima za stvaranje potpisa (QSCD)

Jedan od stupaca kvalificiranog potpisivanja je korištenje kvalificiranog sigurnosnog uređaja za stvaranje potpisa (QSCD — Qualified Signature Creation Device) skladnog s Prilogom II eIDAS. Davatelja mora osigurati da:

• Privatni ključ potpisivača ne može biti generiran, pohranjen ili kopiran izvan QSCD.

• Генерирање кључа se vrši isključivo u certificiranom okruženju (sertifikacija Common Criteria EAL 4+ ili ekvivalentna).

• Autentifikacija potpisivača prije bilo kojeg čina potpisivanja počiva na najmanje dva faktora autentifikacije.

U kontekstu daljinskog potpisivanja — što je sve češće u SaaS okruženjima — ti zahtjevi se primjenjuju na HSM server (Hardware Security Module) koji hostira ključeve. ANSSI je objavila specifične profile zaštite (PP-0075, PP-0076) koji definiraju sigurnosne kriterije koji se trebaju postići.

Politika kontinuiteta i obavijest o incidentima

Članak 19 eIDAS nameće svakom davatelju usluga pouzdanog servisa (kvalificiranomILI ne) da:

• Obavijesti nadzornu vlast (ANSSI) i, gdje je primjenjivo, vlast za zaštitu podataka (CNIL), u roku od 24 sata nakon otkrivanja sigurnosne povrede koja bi mogla utjecati na pouzdanost usluge.

• Održava dokumentirani i redovito testirani plan kontinuiteta aktivnosti.

• Raspolaže formaliziranom politikom sigurnosti informacija, koja pokriva upravljanje rizicima, upravljanje incidentima i politiku sigurnosne kopije.

Ti zahtjevi se djelomično preklapaju s onima iz Direktive NIS2 (2022/2555/UE), transpozirane u francusko pravo zakonom br. 2023-703 od 1. kolovoza 2023., koji klasificira PSCo značajne veličine među važne ili ključne subjekte podvrgnute pojačanim obvezama kibernetske sigurnosti.

> Saznajte kako [nedostaje specifična stranica] mora integrirati ta ograničenja u svoje dokumemtarne tijek rada.

---

GDPR specifične obveze za PSCo

Je li PSCo odgovorna osoba za obradu ili obrađivač?

GDPR kvalifikacija davatelja ovisi o vrsti pružene usluge:

• Kada PSCo izravno isporučuje certifikate kvalificirane od strane potpisivača i određuje svrhe obrade osobnih podataka (identitet, biometrijski podaci autentifikacije), djeluje kao odgovorna osoba za obradu prema članku 4(7) GDPR.

• Kada integrira svoj API u platformu B2B klijenta i obrađuje osobne podatke samo prema uputama tog klijenta, ima kvalitet obrađivača (članak 4(8) GDPR) i mora obavezatno zaključiti DPA (Data Processing Agreement) u skladu s člankom 28 GDPR.

U praksi, većina SaaS PSCo ima oboje svojstava: odgovorna osoba za upravljanje svojom vlastitom infrastrukturom certifikacije, obrađivač za obradu dokumenata i metapodataka potpisivača.

Specifične obveze vezane uz biometrijske podatke i podatke o identitetu

Identifikacija i autentifikacija potpisivača — obavezni korak za isporučivanje kvalificiranog certifikata — često podrazumijevaju obradu osjetljivih podataka: skeniranje osobne iskaznice, video selfie, biometrijski podaci prepoznavanja lica. Ti podaci predstavljaju osobne podatke podvrgnute GDPR, čak i biometrijske podatke koji padaju pod članak 9 GDPR (posebne kategorije).

Obveze PSCo uključuju:

• Pravna osnova: izričiti pristanak (članak 9§2a) ili, u određenim slučajevima, pravna obveza (članak 9§2b) za obradu biometrijskih podataka.

• Ograničena trajnost čuvanja: prema smjernicama CNIL, podaci o identitetu trebaju biti čuvani samo koliko je potrebno, obično usklađeno s trajanjem valjanosti certifikata + zakonska trajanja dokaza (često 10 godina za privatne dokumente, članak 2224 Građanskog zakona).

• Obavezna analiza utjecaja (AIPD) (članak 35 GDPR) čim je obrada vjerojatno da će stvoriti visok rizik — što je sustavno slučaj za biometriju.

• Registar obrade (članak 30 GDPR) redovito ažuriran i dokumentirajući svaku kategoriju obrade.

Međunarodni prijenos podataka

Mnogi PSCo hostiraju cijelu ili dio svoje infrastrukture izvan Europskog gospodarskog prostora (EEE). U tom slučaju, odgovarajuće zaštite zahtjevane 5. poglavljem GDPR se nameću: odluka o adekvatnosti, okvirni ugovori (SCCs) Komisije EU ili obvezujuća korporativna pravila (BCR). Presuda Schrems II (Sud EU, C-311/18, 16. srpnja 2020.) podsjetila je da prijenos u Sjedinjene Američke Države zahtijeva preliminarnu analizu rizika zemlje.

> Za razumijevanje utjecaja tih pravila na vašu organizaciju, pogledajte naš odgovor.

---

Obveze transparentnosti i informiranja korisnika

Politika certifikacije (PC) i deklaracija o praksi certifikacije (DPC)

Svaki PSCo koji isporučuje certifikate dužan je objaviti Politiku Certifikacije (PC) i Deklaraciju o Praksi Certifikacije (DPC), u skladu s normom ETSI EN 319 411. Ti dokumenti, slobodno dostupni, detaljno navode:

• Postupke identifikacije i registracije potpisivača.

• Mjere fizičke i logičke sigurnosti koje su raspoređene.

• Uvjete povlačenja certifikata i povezane rokove.

• Odgovornosti i ograničenja jamstava PSCo.

Odsutnost ili nekompletnost tih dokumenata predstavlja neusklađenost koju je moguće identificirati tijekom revizije prekvalifikacije od strane akreditiranog tijela.

Predugovorene i ugovorene informacije klijentima

Izvan čisto tehničkih obveza, članak 13 GDPR nameće PSCo da svakoj osobi čiji su podaci prikupljeni pruži jasne i pristupačne informacije o:

• Identitetu odgovorne osobe za obradu i kontaktnim podacima DPO (obavezno za PSCo koji u velikoj mjeri obrađuju osjetljive podatke, članak 37 GDPR).

• Svrhe i pravnim osnovama svake obrade.

• Pravima osoba (pristup, ispravka, brisanje, prenosivost, prigovor).

• Mogućim primateljima podataka (obrađivači, vlasti).

Te informacije trebaju biti uključene u politiku privatnosti usluge, u uvjetima korištenja i, gdje je primjenjivo, u DPA zaključenom s klijentima korisnicima.

Kvalificiran vremenski žig i trag revizije

Kako bi osigurali dugoročnu dokaznu vrijednost potpisa, ozbiljni PSCo sustavno povezuju kvalificirani elektronički vremenski žig (članak 42 eIDAS) sa svakim potpisanim činom. Taj vremenski žig predstavlja pravnu pretpostavku dokaza o postojanju podatka na navedenoj dati. Čuvanje trag revizije (logovi identifikacije, otisak dokumenta, podatci o potpisu) je faktička obveza koja omogućava bilo koju budućnost sudsku provjeru.

> Usporedite rješenja na tržištu prema tim kriterijima u našem vodiču.

---

eIDAS 2.0: nove obveze na horizont do 2026.-2027.

Uredba eIDAS 2.0 (EU) 2024/1183

Objavljena u Službenom listu EU 30. travnja 2024., uredba (EU) 2024/1183 nazvana "eIDAS 2.0" znatno pojačava obveze PSCo oko tri osi:

• Europski novčanik za digitalnu identifikaciju (EUDI Wallet): države članice trebaju staviti dostupnim certificirani digitalni novčanik identiteta do 2. studenog 2026. PSCo trebat će integrirati svoju uslugu s tim novčanikom kako bi pružili kvalificirane potpise preko identiteta eIDAS 2.0.

• Upravljanje atributima certifikata: eIDAS 2.0 uvodi kvalificirane atributne certifikate (QEAAs), koje isporučuju kvalificirani davatelji atributa. Primjenjuju se nove procedure revizije i kvalifikacije.

• Pojačanje nadzora: nacionalne nadzorne vlasti (ANSSI za Francusku) imaju proširene ovlasti, posebno mogućnost provođenja nenajavljenih revizija i iznošenja obvezatnih korektivnih mjera u skraćenim rokovima.

Praktične implikacije za trenutne davatelje

PSCo već kvalificirani prema eIDAS 1.0 trebat će postupno postati skladni prije postavljenih roku od strane izvršnih akata Komisije (objavljenih ili u tijeku objave). Glavne prilagodbe odnose se na:

• Temeljnu reformu infrastrukture identifikacije kako bi se podržao EUDI Wallet kao metoda autentifikacije.

• Ažuriranje PC/DPC kako bi se integrirali novi tipovi certifikata i atributa.

• Pojačavanje sigurnosnih zahtjeva za udaljene QSCD, s novim profilima zaštite koji dolaze.

Za klijenske tvrtke, to znači provjeriti već danas da njegov davatelja ima dokumentirane i provjerive roadmap eIDAS 2.0 sukladnosti.

Primjenjivi pravni okvir na obveze davatelja usluga elektroničkog potpisivanja

Normativni lanac primjenjljiv na davatelje usluga elektroničkog potpisivanja koji posluju u Francuskoj artikulira se na nekoliko komplementarnih hierarhijskih razina.

Francuski građanski kodeks — Članci 1366 i 1367

Članak 1366 Građanskog zakona priznaje elektronički oblik kao sredstvo dokaza ekvivalentno pisanom obliku, pod uvjetom da se "može dužno identificirati osoba od koje dolazi i da je uspostavljeno i čuvano u uvjetima koji mogu osigurati njegovu integritet". Članak 1367 pojašnjava da elektronički potpis "sastoji se od korištenja pouzdanog postupka identificiranja koji osigurava njegovu povezanost s činom kojem se prilaže". Pretpostavka pouzdanosti pogoduje kvalificiranim potpisima prema eIDAS, obrćući teret dokaza u korist potpisivača.

Uredba eIDAS br. 910/2014/EU

Ova uredba, izravno primjenjljiva u svim državama članicama, uspostavljava pravni okvir za usluge pouzdanog servisa. Njen članak 26 definira uvjete naprednog elektroničkog potpisivanja; članak 28 zahtjeve kvalificiranih certifikata; Prilog I detaljizira obavezni sadržaj tih certifikata. Kvalificirani PSCo imaju koristi od pretpostavke sukladnosti sa zahtjevima uredbe (članak 19§2), što predstavlja važnu prednost u slučaju spora.

Uredba eIDAS 2.0 — (EU) 2024/1183

Objavljena 30. travnja 2024., ta uredba koja mijenja uvodi nove kategorije usluga pouzdanog servisa (kvalificirane atributne certifikate, kvalificirane usluge arhiviranja) i pojačava nadzorne obveze. On ukida i djelomično zamjenjuje uredbu 910/2014, s postupnom primjenjivošću prema izvršnim aktima Komisije EU.

GDPR — Uredba (EU) 2016/679

GDPR se primjenjuje na bilo koju obradu osobnih podataka provedenu u okviru usluge elektroničkog potpisivanja. Članci 5 (načela zakonitosti), 6 (pravna osnova), 9 (osjetljivi podaci), 13-14 (informacije), 28 (obrada ugovorom), 32 (sigurnost), 33-34 (obavijest o kršenju), 35 (AIPD) i 37 (DPO) predstavljaju najčešće primjenjive odredbe. CNIL je nadležna nadzorna vlast u Francuskoj i može nametati kazne do 20 milijuna eura ili 4% godišnjeg svjetskog prometa (članak 83§5 GDPR).

Direktiva NIS2 — (EU) 2022/2555

Transponirana u francusko pravo zakonom br. 2023-703 od 1. kolovoza 2023., NIS2 klasificira značajne PSCo među važne ili ključne subjekte podvrgnute obvezama upravljanja cyber rizicima i obavijesti o incidentima ANSSI u roku od 24 sata (rana upozorenja) pa zatim 72 sata (potpuna obavijest).

Norme ETSI

Cijeli niz normi EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 i TS 119 431 predstavlja obaveznu tehničku referencu za reviziju kvalifikacije. Pogrješnosti u njima dovode do nemogućnosti dobivanja ili održavanja kvalificiranog statusa.

Pravni rizici u slučaju nesukladnosti

Nesklapan davatelja izlaže: brisanju s francuskog TSL, angažmanu njegove ugovorne i izvanugovorne odgovornosti, kaznama CNIL, kaznama NIS2 koje mogu dosegnuti 10 milijuna eura ili 2% svjetskog prometa za važne subjekte i 20 milijuna ili 4% prometa za ključne subjekte, kao i sudskim tužbama klijenata koji su pretrpjeli štetu zbog nevaljanih pravno potpisa.

Scenariji korištenja: kako tvrtke provjeravaju sukladnost PSCo

Scenarij 1 — Industrijska grupa koja upravlja 3 000 ugovora s dobavljačima godišnje

Industrijska grupa srednje veličine (ETI), aktivna u proizvodnji mehaničke opreme, dematerijealizira sve svoje ugovore s dobavljačima kroz SaaS platformu za elektroničko potpisivanje. Tijekom unutarnje revizije pokrenute nakon regulatorne promjene, pravni odjel bilježi da odabrani davatelja — izvorno odabran prema cijeni — nije naveden ni na francuskom TSL ni na nijednom drugim TSL u Europi. Isporučeni potpisi su tipa "jednostavnog" bez mehanizma snažne identifikacije potpisivača.

Suočena s pravnim rizikom — cijeli niz potpisanih ugovora mogao bi imati osporenu dokaznu vrijednost u slučaju spora — tvrtka pokreće migraciju na kvalificiranog PSCo ANSSI. Novo rješenje integrira napredni potpis s kvalificiranim certifikatom, kvalificiranim vremenski žigom i izvozivim tragom revizije. Migracijsko područje, provedeno u manje od 8 tjedana, omogućava retrospektivno osiguranje novih činova i uspostavljanje sukladne dokumemtarne politike. Timovi legale procjenjuju da rizik od spora vezano uz stare ugovore ostaje marginalan zbog njihove izvršavanja bez prigovora, ali svaki novi potpis je sada pokriven.

Promatrani dobici: smanjenje od 60% potencijalnih sporova povezanih s autentičnošću potpisa, i dobit od 3,5 dana prosječnog vremena skraćenja potpisa za kompleksne ugovore zahvaljujući automatizaciji toka validacije.

Scenarij 2 — Odvjetničke kancelarije od 25 suradnika specijalizirane za poslovne zakone

Odvjetničku kancelariju koja želi digitalizirati potpisivanje mandata, konzultacija i procesnih činova procjenjuje nekoliko davatelja. Njena analitička mreža uključuje sljedeće kriterije: prisutnost na TSL, objava pristupačne PC/DPC, postojanje DPA skladnog GDPR, dostupnost dostižnog DPO i sertifikacija udaljenih QSCD.

Od pet procijenjenih davatelja, samo dva ispunjavaju sve kriterije. Kancelarija konačno odabira PSCo koji ponosi izvedbeno kvalificirani potpis preko udaljenog QSCD, jamčeći pretpostavku pouzdanosti članku 1367 Građanskog zakona. Uspostava traje 3 tjedna, obuka uključena. Rezultat: 75% mandata je sada potpisano u roku od manje od 24 sata u odnosu na 5 do 7 dana prije (pošta), i kancelarija može svojim klijentima opravdati razinu sigurnosti koju pružena rješenja nudi — razlikovni argument u svojim komercijalnim prijedlozima.

Scenarij 3 — Bolnička grupa od oko 1 200 kreveta

Bolnička grupa javnog sektora želi dematerijealizirati ugovore o radu, konvencije o staži i sporazume o partnerstvaima s partnerskim zdravstvenim ustanovama. Osjetljivost obrađenih podataka (zdravstveni podaci medicinskih osoba, HRM podaci) nameće iznimnu pažnju na GDPR obveze PSCo.

DSI i DPO ustanove zahtijevaju: hostiranje podataka u Francuskoj kod HDS certificiranog hostinga podataka (Hébergeur de Données de Santé, sertifikacija predviđena člankom L.1111-8 Zakona o javnom zdravstvu), nema prijenosa izvan EEE, dokumentirana AIPD za obradu identifikacije potpisivača, i DPA potpisan prije bilo kakve produkcije.

Nakon odabira PSCo koji odgovara tim kriterijima, raspored u prioritet pokriva HRM ugovore (oko 800 činova godišnje). Prosječno vrijeme potpisivanja ugovora s określenom dužinom smanjuje se s 9 dana na manje od 48 sati, oslobađajući kapacitet za timove ljudskih resursa. Ustanova raspolaže osim toga s potpunom praćenjem obrađenih suglasnosti, godišnje provjerenom od strane DPO.

Zaključak

Obveze koje padaju na davatelje usluga elektroničkog potpisivanja u Francuskoj čine zahtjevan normativni skup: kvalifikacija eIDAS, sukladnost GDPR, poštivanje normi ETSI, obveze NIS2 i iminent prilagodba eIDAS 2.0. Za korisnike poduzeće, osiguranje sukladnosti svog PSCo nije opcionalna aktivnost — to je uvjet sine qua non za dokaznu vrijednost potpisanih dokumenata i zaštitu osobnih podataka potpisivača.

Certyneo je davatelja usluga elektroničkog potpisivanja osmišljen kako bi ispunio sve te zahtjeve: sukladnost eIDAS, GDPR by design, suverano hostiranje i dokumentirane roadmap eIDAS 2.0. Spreman osigurati vaše potpise u potpunoj sukladnosti? i pogoditi personalizirane potpore već od prvog dana.