Elektronikus aláírás-szolgáltatók kötelezettségei Franciaországban

Bevezetés

Az elektronikus aláírási megoldás Franciaországban történő bevezetése nem improvizálható. Minden minősített vagy fejlett aláírás mögött tucatnyi jogi kötelezettség húzódik meg, amely a megbízható szolgáltatások nyújtóját (PSCo) terheli. Az eIDAS rendelet, a GDPR, az általános biztonsági keret, az ETSI normák... a szabályozási keretrendszer egyidejűleg sűrű és fejlődő. A felhasználó vállalkozások számára nélkülözhetetlen az elektronikus aláírás-szolgáltatók jogi kötelezettségeinek megértése Franciaországban, az eIDAS és a GDPR összefüggésében, hogy megfelelő partnert választhassanak és elkerüljenek minden jogi kockázatot. Ez a cikk szakaszonként részletezi az olyan PSCo-k által alkalmazandó összes követelményt, amelyek a francia területen működnek.

---

A minősített megbízható szolgáltatás-nyújtó státusza

Mi az eIDAS szerinti PSCo?

Az eIDAS 910/2014 rendelet megkülönböztet két kategóriát: a nem minősített és a minősített megbízható szolgáltatás-nyújtókat (PSCQ). Az elsők egyszerű vagy fejlett elektronikus aláírást kínálhatnak kötelező harmadik fél szerinti audit nélkül. Az utóbbiak — csak az eIDAS 3(15) cikkében szereplő minősített aláírások kibocsátására jogosultak — lényegesen szigorúbb követelményeknek kell megfelelniük.

Franciaországban az Agence nationale de la sécurité des systèmes d'information (ANSSI) töltse be a felügyeleti hatóság szerepét, amelyet az eIDAS 17. cikke ír elő. Közzéteszi és karbantartja a francia megbízhatósági listát (TSL — Trust Service List), amely a minősített szolgáltatókat és azok szolgáltatásait felsorolja, és az ANSSI hivatalos webhelyén érhető el.

A minősítési eljárás: audit és megfelelőség

Ahhoz, hogy PSCo minősített státuszt kapjon, szükségszerűen:

• Ki kell auditáltatnia szolgáltatásait egy COFRAC által az EN ISO/IEC 17065 norma szerint akkreditált megfelelőség-értékelő szervezettel (CAB — Conformity Assessment Body).

• Az audit jelentést az ANSSI-hez kell benyújtania, amely a minősített státusz megadásáról dönt. Ezt a státuszt legalább 24 havonta felülvizsgálják (eIDAS 20. cikk 1. bekezdés).

• Az ANSSI-t értesítenie kell az előirányzott módosítást megelőzően 3 hónapon belül bekövetkezett lényegi változásokról (eIDAS 21. cikk).

Ezek a lépések elmulasztása a TSL-ből való törléshez és a minősített aláíráshoz kapcsolódó jogi feltételezések elvesztéséhez vezethet. Az ügyféli vállalkozások számára a TSL-en nem szereplő PSCo-hoz fordulás azt jelenti, hogy nem élvezik a megbízhatóság jogi feltételezéseit.

> Ha többet szeretne megtudni az aláírás-szintek és jogi hatásuk különbségeiről, olvassa el a temáját.

---

A PSCo-kra vonatkozó technikai és biztonsági kötelezettségek

Az ETSI normák betartása

A minősített szolgáltatók az European Telecommunications Standards Institute (ETSI) által kiadott európai normák megfelelő betartása szükséges. A legfontosabbak:

• ETSI EN 319 401: minden PSCo-ra alkalmazandó általános biztonsági követelmények.

• ETSI EN 319 411-1 és 411-2: minősített aláírási tanúsítványokat kibocsátó hitelesítésszolgáltatók politikái és gyakorlatai.

• ETSI EN 319 132: fejlett elektronikus aláírás formátumai (XAdES XML-hez, PAdES PDF-hez, CAdES CMS-hez).

• ETSI EN 319 122: CAdES formátum minősített aláírásokhoz.

• ETSI TS 119 431: követelmények a távolról történő aláírás-létrehozási szolgáltatások (QSCD távolról) számára.

Ezek a normák nem választhatóak: az eIDAS rendelet (II., III. és IV. melléklet) kifejezetten hivatkozik rájuk a minősített tanúsítványok és az aláírás-létrehozási eszközök minimális követelményeinek meghatározása céljából.

A minősített aláírás-létrehozási eszközök (QSCD) kezelése

A minősített aláírás egyik alapvető pillére az eIDAS II. mellékletének megfelelő minősített aláírás-létrehozási eszköz (QSCD) alkalmazása. A szolgáltatónak biztosítania kell, hogy:

• Az aláíró titkos kulcsa a QSCD-n kívül nem hozható létre, tárolható vagy másolható.

• A kulcs generálása kizárólag tanúsított környezetben történik (Common Criteria EAL 4+ tanúsítás vagy azzal egyenértékű).

• Az aláírási műveletet megelőző aláíró hitelesítés legalább két hitelesítési tényezőn alapul.

A távolról történő aláírás kontextusában — amely egyre gyakoribb a SaaS-környezetekben — ezek a követelmények a kulcsokat tároló HSM (Hardware Security Module) szerverre vonatkoznak. Az ANSSI specifikus védelmi profilokat (PP-0075, PP-0076) teremtett meg, amely meghatározza a megcélzandó biztonsági kritériumokat.

Üzletmenet-folytonosság és incidensértesítési politika

Az eIDAS 19. cikke minden megbízható szolgáltatást nyújtónak (minősített vagy nem) előírja:

• Az ANSSI-t és adott esetben az adatprotekciós hatóságot (CNIL) 24 órán belül értesíteni kell a biztonsági jogsérülés felderítésétől számított, amely a szolgáltatás megbízhatóságára hathat.

• Dokumentált és rendszeresen tesztelt üzletmenet-folytonossági tervet kell fenntartani.

• Formalizált információbiztonsági politikával kell rendelkezni, amely különösen a kockázatkezelést, az incidenskezelést és a biztonsági mentési politikát fedi le.

Ezek a követelmények részben átfedésben vannak a NIS2 direktívával (2022/2555/EU), amelyet a francia jogrendbe az 1. augusztus 2023-as 2023-703. törvény transzponált, amely a jelentős méretű PSCo-kat fontos vagy kritikus entitások közé sorolja, amelyekre megerősített kiberbiztonsági kötelezettségek vonatkoznak.

> Fedezze fel, hogy az olyan megoldások hogyan kell integrálni ezeket a megkötéseket a dokumentumkezelési munkafolyamataik során.

---

A GDPR-re vonatkozó specifikus PSCo-kötelezettségek

A PSCo, az adatfeldolgozó vagy az adatkezelő?

Az adatkezelő GDPR szerinti minősítése az nyújtott szolgáltatás jellegétől függ:

• Ha a PSCo közvetlenül az aláíró nevében minősített tanúsítványokat bocsát ki, és meghatározza a személyes adatok feldolgozásának célját (identitás, biometrikus hitelesítési adatok), akkor az adatkezelőként működik az GDPR 4(7) cikkében meghatározott értelemben.

• Ha API-ját egy B2B ügyfél platformjába integrálja, és kizárólag az ügyfél utasításai szerint dolgozza fel a személyes adatokat, akkor az adatfeldolgozó minőségében jár el (GDPR 4(8) cikk), és kötelezően be kell kötnie a GDPR 28. cikkének megfelelő DPA-t (Data Processing Agreement).

A gyakorlatban a legtöbb SaaS PSCo mindkét minőséget egybeosztja: felelős saját tanúsítási infrastruktúrájának kezeléséért, feldolgozó az aláírók dokumentumainak és metaadatainak feldolgozásáért.

Az adatok és identitásadatok biometrikus feldolgozásához kapcsolódó specifikus kötelezettségek

Az aláíró azonosítása és hitelesítése — a minősített tanúsítvány kibocsátásához szükséges kötelező lépés — gyakran érzékeny adatok feldolgozását vonja maga után: személyazonossági igazolvány pásztázása, videó szelfi, arcfelismerési biometrikus adatok. Ezek az adatok a GDPR szerinti személyes adatok, sőt a GDPR 9. cikke szerinti biometrikus adatok (különleges kategóriák).

A PSCo kötelezettségei közé tartozik:

• Jogi alap: kifejezett hozzájárulás (GDPR 9(2a) cikk), vagy bizonyos esetekben jogi kötelezettség (GDPR 9(2b) cikk) a biometrikus adatok feldolgozásához.

• Korlátozott megőrzési időtartam: a CNIL irányelvek szerint az azonosítási adatokat csak szükséges ideig, általában a tanúsítvány érvényességi időtartama + törvényi bizonyítottási időtartam (gyakran 10 év a magánjogi dokumentumokhoz, Polgári Törvénykönyv 2224. cikk) szerint kell megőrizni.

• Hatásbecslés (AIPD) kötelező (GDPR 35. cikk), amint a feldolgozás nagy kockázatot okozhat — ez a biometria esetén szisztematikusan előfordul.

• Feldolgozási nyilvántartás (GDPR 30. cikk), amely naprakészen tartott és minden feldolgozási kategóriát dokumentál.

Nemzetközi adatátvitelek

Sok PSCo infrastruktúrájának egy részét vagy egészét az Európai Gazdasági Térségen (EEE) kívül helyezi el. Ebben az esetben a GDPR V. fejezete által megkövetelt megfelelő garanciák szükségesek: megfelelőségi határozat, az Európai Bizottság szerződéses szokásos feltételei (SCCs) vagy kötelező vállalati szabályok (BCR). A Schrems II ítélet (CJEU, C-311/18, 2020. július 16.) megjegyezte, hogy az Egyesült Államokba történő átvitelek előzetes országkockázat-elemzést igényelnek.

> Az ezeknek a szabályoknak a szervezetére gyakorolt hatásának megértéséhez olvassa el a temáját.

---

Átláthatóságra és felhasználói tájékoztatásra vonatkozó kötelezettségek

Tanúsítási politika (CP) és tanúsítási gyakorlat nyilatkozata (CPS)

Minden tanúsítványokat kibocsátó PSCo kötelezően köteles közzétenni egy Tanúsítási Politikát (CP) és Tanúsítási Gyakorlat Nyilatkozatát (CPS), az ETSI EN 319 411 normának megfelelően. Ezek a szabad hozzáféréssel rendelkező dokumentumok részletezik:

• Az aláírók azonosítási és regisztrációs eljárásai.

• A telepített fizikai és logikai biztonsági intézkedések.

• A tanúsítványok visszavonási feltételei és kapcsolódó határidők.

• A PSCo felelőssége és garanciamegállapodásai.

Ezeknek a dokumentumoknak az hiánya vagy hiányossága megfelelőségi hiányosságot jelent, amelyet a minősítési újraaudit során az akkreditált szervezet felsorakoztathat.

Az ügyfelekre vonatkozó szerződés előtti és szerződéses tájékoztatás

A tisztán technikai kötelezettségeken túl a GDPR 13. cikke előírja a PSCo-nak, hogy minden olyan személynek, akinek az adatait begyűjtik, világos és érthető tájékoztatást adjon a következőkről:

• Az adatkezelő személye és a DPO (adatvédelmi tisztségviselő) elérhetőségei, amely kötelező a PSCo-k számára, amelyek nagy mennyiségben érzékeny adatokat dolgoznak fel (GDPR 37. cikk).

• Az egyes feldolgozások céljai és jogi alapjai.

• Az érintett személyek jogai (hozzáférés, helyesbítés, törlés, hordozhatóság, tiltakozás).

• Az adatok lehetséges címzettjei (adatfeldolgozók, hatóságok).

Ezek az információk a szolgáltatás adatvédelmi nyilatkozatában, az általános szerződési feltételekben és adott esetben az üzleti ügyfelek közötti DPA-ban kell, hogy megjelenjenek.

Minősített időbélyegzés és auditnyomvonal

A podtartós aláírások jogi értékének garantálása érdekében a komoly PSCo-k szisztematikusan minősített elektronikus időbélyegzéssel (eIDAS 42. cikk) párosítják az egyes aláírási aktusokat. Ez az időbélyegzés jogi feltételezés szerint bizonyítékul szolgál az adatok létezésére a megadott időpontban. Az auditnyomvonal (azonosítási naplók, dokumentum-lenyomat, aláírási adatok) megőrzése valójában kötelezettség, amely lehetővé teszi a későbbi bírósági ellenőrzést.

> Hasonlítsa össze a piacon elérhető megoldásokat ezen kritériumok alapján a mi füzetünk segítségével.

---

eIDAS 2.0: az új kötelezettségek 2026-2027 horizonton

Az eIDAS 2.0 (EU) 2024/1183 rendelet

Az EU Hivatalos Lapjában 2024. április 30-án közzétett (EU) 2024/1183 rendelet — az úgynevezett „eIDAS 2.0" — jelentősen megerősíti a PSCo-k kötelezettségeit három tengely körül:

• Az Európai Digitális Identitás Pénztárca (EUDI Wallet): az EU tagállamainak 2026. november 2-ig tanúsított digitális identitási pénztárcát kell nyújtaniuk. A PSCo-knak integrálniuk kell a szolgáltatásukat ezzel a pénztárcával az eIDAS 2.0 identitáson keresztül történő minősített aláírások nyújtása érdekében.

• Az attribútumok tanúsítványainak kezelése: az eIDAS 2.0 a minősített attribútum-tanúsítványokat (QEAA-k) vezeti be, amelyeket minősített attribútum-tanúsítási szolgáltatók bocsátanak ki. Új auditálási és minősítési eljárások lépnek életbe.

• A felügyelet erősítése: az államok felügyeleti hatóságai (az ANSSI Franciaország számára) kiterjesztett hatáskörrel rendelkeznek, valamint a rendszertelen auditok lefolytatásának képessége és kötelező intézkedések bevezetésének lehetősége rövidített határidővel.

Gyakorlati vonatkozások a jelenlegi szolgáltatók számára

Az eIDAS 1.0 alatt már minősített PSCo-k fokozatos megfelelőséggel kell szembenézniük az Európai Bizottság által meghatározott határidőkig (közzétett vagy folyamatban lévő végrehajtási aktusok). A fő alkalmazkodások a következőket érintik:

• Az azonosítási infrastruktúra átfoglalása az EUDI Wallet hitelesítési módként való támogatása érdekében.

• Az CP/CPS frissítése az új tanúsítvány és tanúsítás tipológiáját beépíteni.

• A QSCD távolról történő biztonsági követelményeinek megerősítése új védelmi profilokkal.

Az ügyféli vállalkozások számára ez azt jelenti, hogy ma már ellenőrizni kell, hogy szolgáltatójuk dokumentált és ellenőrizhető eIDAS 2.0 megfelelőségi úttervvel rendelkezik-e.

A jogi keret az elektronikus aláírás-szolgáltatók kötelezettségeire

Az elektronikus aláírás-szolgáltatók számára Franciaországban alkalmazandó normatív lánc több komplementer hierarchikai szint körül tagolódik.

Francia Polgári Törvénykönyv — 1366–1367. cikkek

Az Polgári Törvénykönyv 1366. cikke az elektronikus írást az írásos bizonyítékkal egyenértékű módként ismeri el, feltéve, hogy „megfelelően azonosítható a személy, akitől származik, és olyan körülmények között készült és tárolható, amelyek biztosítják annak épségét". Az 1367. cikk azt tisztázza, hogy az elektronikus aláírás „egy megbízható azonosítási eljárás alkalmazásából áll, amely az aláíráshoz kapcsolódó aktussal való kapcsolatát garantálja". Az e minősítés szerinti megbízható aláírások a jogi feltételezésből részesülnek, megfordítva a bizonyítás terheit az aláíró javára.

Az eIDAS 910/2014/EU rendelet

Ez a rendelet, amely közvetlenül alkalmazandó az összes EU tagállamban, meghatározza a bizalmi szolgáltatások jogi keretét. 26. cikke az fejlett elektronikus aláírás feltételeit; 28. cikke a minősített tanúsítványok követelményeit; I. melléklete e tanúsítványok kötelező tartalmát részletezi. A minősített PSCo-k feltételezik a rendelet technikai és jogi követelményeivel való megfelelőséget (19. cikk 2. bekezdés), amely jelentős előny vita esetén.

Az eIDAS 2.0 rendelet — (EU) 2024/1183

1. április 30-án közzétéve, ez a módosító rendelet bevezeti az új típusú bizalmi szolgáltatásokat (minősített attribútum-tanúsítások, minősített archívum-szolgáltatások), és erősíti a felügyeleti kötelezettségeket. Részben helyettesíti a 910/2014 rendeletet progresszív alkalmazottsággal az Európai Bizottság végrehajtási aktusai szerint.

GDPR — (EU) 2016/679 rendelet

A GDPR az elektronikus aláírási szolgáltatás keretében végzett minden személyes adatfeldolgozásra alkalmazandó. Az 5. cikk (törvényességi elvek), 6. cikk (jogi alap), 9. cikk (érzékeny adatok), 13–14. cikkek (tájékoztatás), 28. cikk (adatfeldolgozás), 32. cikk (biztonság), 33–34. cikkek (jogsérülésről való értesítés), 35. cikk (hatásbecslés) és 37. cikk (DPO) az alkalmazandó leggyakoribb rendelkezések. A CNIL az alkalmazandó felügyeleti hatóság Franciaországban, és legfeljebb 20 millió euró vagy az éves világszintű forgalom 4%-a összegű bírságot szabhat ki (GDPR 83. cikk 5. bekezdés).

NIS2 direktíva — (EU) 2022/2555

Az 1. augusztus 2023-i 2023-703. szám törvénnyel a francia jogrendbe transzponált NIS2 a jelentős méretű PSCo-kat fontos vagy kritikus entitások közé sorolja, amelyekre cyber kockázatkezelési kötelezettségek és az ANSSI-nek 24 órán belüli incidensértesítés (korai figyelmeztetés), majd 72 órán belüli teljes értesítés szükséges.

ETSI normák

Az összes EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 és TS 119 431 normák a minősítési audit kötelező technikai referenciáját képezik. Nem betartásuk akadályozza a minősített státusz elérését vagy fenntartását.

Jogi kockázatok a nem megfelelőség esetén

A nem megfelelő szolgáltató: a TSL francia listáról való törlésnek, szerződéses és szerződésszegésén alapuló felelelősségének, CNIL administratív szankcióknak, NIS2 bírságoknak (amelyek 10 millió euró vagy a világszintű forgalom 2%-a lehetnek a fontos entitások, illetve 20 millió euró vagy 4% az kritikus entitások számára), valamint az olyan ügyfeleket felperesneves polgári pernek teszi ki, akik a jogi érvényességgel rendelkező aláírások hiánya miatt károsodást szenvedtek.

Gyakorlati felhasználási esetek: hogyan ellenőrzik a vállalkozások szolgáltatójuk megfelelőségét

Eset 1 — Egy ipari csoport évente 3 000 szállítói szerződést kezel

Egy közepes méretű ipari csoport (ETI), amely mechanikai berendezések gyártásában működik, szállítói szerződéseinek teljes körét demateriálozza egy SaaS-alapú elektronikus aláírási platformon keresztül. Az eljárás során kiváltott belső auditutalán után a jogi iroda azt tapasztalja, hogy a kezdetben ár alapján kiválasztott szolgáltatót sem a francia TSL, sem más TSL nem szerepelteti. Az aláírások „egyszerű" típusúak az aláíró szilárd azonosítási mechanizmusa nélkül.

A jogi kockázattal szembesülve — az összes aláírt szerződés értékét kérdőjelezhetnék meg vita esetén — a cég egy ANSSI-minősített PSCo-hoz való migrációt kezdeményez. Az új megoldás egy fejlett aláírást integrál minősített tanúsítvánnyal, minősített időbélyegzéssel és exportálható auditnyomvonallal. A migrációs projekt kevesebb mint 8 hét alatt teljesül, lehetővé téve a régi szerződések utólagos biztosítása. A jogi csapatok azt becsülik, hogy a régi szerződésekhez kapcsolódó perils kockázata marginális az vita nélküli végrehajtásuk miatt, de az összes új aláírás haladék nélkül védett.

Tapasztalatok: az aláírások hitelességéhez kapcsolódó potenciális vitákban 60%-os csökkenés, és átlagosan 3,5 napnyi késédelmi nyereség az összetett szerződésekre az automatizálás miatt.

Eset 2 — Egy 25 emberből álló ügyvédi iroda, az üzleti jog specializációjával

Egy ügyvédi iroda a meghatalmazások, a konzultációk és a perindítványok aláírásának digitalizálása során több szolgáltatót értékel ki. Értékelési kerete a következő kritériumokat tartalmazza: a TSL-en való jelenlét, nyilvánosan elérhető CP/CPS-dokumentáció, GDPR megfelelő DPA, könnyen hozzáférhető DPO, és a QSCD-k távolról történő tanúsítása.

Az öt megvizsgált szolgáltató közül csak kettő felel meg az összes kritériumnak. Az iroda végül egy nyativan minősített aláírást nyújtó PSCo-t választ, amely QSCD-t távolról garantál, így biztosítva a Polgári Törvénykönyv 1367. cikkében szereplő megbízhatóságra vonatkozó feltételezést. A kialakítás 3 hétig tart, képzés is beleértve. Végeredmény: a meghatalmazások 75%-a kevesebb mint 24 óra alatt van aláírva az eredeti 5-7 nappal szemben (postai küldés), és az iroda az ügyfeleinek a megoldás által nyújtott jogi biztonsági szintet is demonstrálhatja — egy megkülönböztetési érv az üzleti ajánlatai során.

Eset 3 — Egy körülbelül 1200 ágyas kórházcsoport

Egy közforgalmi kórházcsoport a munkavégzési szerződések, a stagiaire-konvenenciók és a partnerségi egészségellátási intézmények közötti megállapodások demateriálozását szeretné. Az kezelt adatok érzékenysége (az egészségügyi személyzet egészségügyi adatai, HR-adatok) különös gondosságot igényel a PSCo GDPR-kötelezettségeit illetően.

A digitális infrastruktúra és az adatvédelmi tisztségviselő követeli: az adatokat Franciaországban egy HDS-tanúsított egészségügyi adattárolónál kell tárolni (Hébergeur de Données de Santé tanúsítás, az Egészségügyi Törvénykönyv L.1111–8. cikke előírta), az EEE-n kívüli adatátvitel tilalma, az azonosítási feldolgozásra vonatkozó dokumentált AIPD, és az éles üzemelés előtt aláírt DPA.

A megfelelő kritériumoknak megfelelő PSCo kiválasztása után a telepítés elsősorban az HR-szerződésekre (körülbelül 800 aktus évente) fókuszál. Az erőforrásos munkaerő-szerződések átlagos aláírási ideje 9 napról kevesebb mint 48 órára csökken, felszabadítva az emberi erőforrások csapatainak szignifikáns kapacitásait. Az intézmény teljes körü nyomon követheti az összegyűjtött hozzájárulásokat, amelyeket évente az adatvédelmi tisztségviselője auditál.

Konklúzió

Az elektronikus aláírás-szolgáltatók számára Franciaországban terhelő jogi kötelezettségek jogszabályi korpuszokat képeznek: az eIDAS minősítés, a GDPR megfelelőség, az ETSI normák betartása, az NIS2-kötelezettségek és az eIDAS 2.0-hoz való közelgő adaptáció. Az alkalmazó vállalkozások számára szolgáltatójuk megfelelőségének ellenőrzése nem választható — ez az aláírás jogi erőértékének és az aláírók személyes adatainak védelmének sine qua non feltétele.

A Certyneo egy elektronikus aláírási szolgáltató, amely az összes követelményre tervezett: az eIDAS megfelelőség, a GDPR tervezéssel, az önálló tárolás és az eIDAS 2.0 dokumentált ütemterv. Készen áll aláírásait teljes megfelelőséggel biztosítani? Vegyük fel a kapcsolatot és élvezze az első naptól személyre szabott támogatást.