Kewajiban Penyedia Tanda Tangan Elektronik di Prancis

Pengantar

Menerapkan solusi tanda tangan elektronik di Prancis bukanlah sesuatu yang dapat dilakukan secara sembarangan. Di balik setiap tanda tangan berkualitas atau lanjutan tersembunyi puluhan kewajiban hukum yang menjadi tanggung jawab penyedia layanan kepercayaan (PSCo). Regulasi eIDAS, RGPD, kerangka kerja keamanan umum, standar ETSI... kerangka peraturan sangat padat dan terus berkembang. Bagi perusahaan pengguna, memahami kewajiban hukum penyedia tanda tangan elektronik Prancis eIDAS RGPD sangat penting untuk memilih mitra yang sesuai dan menghindari risiko hukum. Artikel ini menguraikan, bagian demi bagian, semua persyaratan yang berlaku untuk PSCo yang beroperasi di wilayah Prancis.

---

Status penyedia layanan kepercayaan berkualitas

Apa itu PSCo menurut eIDAS?

Regulasi eIDAS No. 910/2014 membedakan antara dua kategori penyedia: penyedia layanan kepercayaan yang tidak berkualitas dan penyedia berkualitas (PSCQ). Yang pertama dapat menawarkan layanan tanda tangan elektronik sederhana atau lanjutan tanpa audit pihak ketiga yang wajib. Yang kedua — hanya yang diizinkan untuk mengeluarkan tanda tangan berkualitas sebagaimana dimaksud dalam artikel 3(15) eIDAS — harus memenuhi persyaratan yang jauh lebih ketat.

Di Prancis, Agence nationale de la sécurité des systèmes d'information (ANSSI) memenuhi peran otoritas pengawas ("Supervisory Body") yang disediakan oleh artikel 17 eIDAS. Ia menerbitkan dan memelihara daftar kepercayaan Prancis (TSL — Trust Service List), dapat diakses di situs resminya, yang mencantumkan penyedia berkualitas dan layanan mereka.

Prosedur kualifikasi: audit dan kepatuhan

Untuk mendapatkan status berkualitas, PSCo harus:

• Melakukan audit layanannya oleh badan penilaian kesesuaian (CAB — Conformity Assessment Body) yang terakreditasi oleh COFRAC sesuai dengan standar EN ISO/IEC 17065.

• Menyerahkan laporan audit kepada ANSSI, yang memutuskan pemberian status berkualitas. Status ini dievaluasi kembali setidaknya setiap 24 bulan (artikel 20 §1 eIDAS).

• Memberi tahu ANSSI tentang perubahan substantif apa pun dalam layanannya dalam waktu 3 bulan sebelum perubahan yang direncanakan (artikel 21 eIDAS).

Ketidakpatuhan terhadap langkah-langkah ini membuat penyedia menghadapi penghapusan dari TSL dan kehilangan praduga hukum yang melekat pada tanda tangan berkualitas. Bagi perusahaan klien, menggunakan PSCo yang tidak terdaftar di TSL berarti tidak mendapatkan keuntungan dari praduga hukum apa pun tentang keandalan.

> Untuk informasi lebih lanjut tentang tingkat tanda tangan berbeda dan efek hukumnya, konsultasikan panduan kami.

---

Kewajiban teknis dan keamanan yang dikenakan pada PSCo

Kepatuhan terhadap standar ETSI

Penyedia berkualitas harus mematuhi serangkaian standar Eropa yang diterbitkan oleh European Telecommunications Standards Institute (ETSI). Yang utama adalah:

• ETSI EN 319 401: persyaratan keamanan umum yang berlaku untuk semua PSCo.

• ETSI EN 319 411-1 dan 411-2: kebijakan dan praktik otoritas sertifikasi yang mengeluarkan sertifikat tanda tangan berkualitas.

• ETSI EN 319 132: format tanda tangan elektronik lanjutan (XAdES untuk XML, PAdES untuk PDF, CAdES untuk CMS).

• ETSI EN 319 122: format CAdES untuk tanda tangan berkualitas.

• ETSI TS 119 431: persyaratan untuk layanan pembuatan tanda tangan jarak jauh (QSCD jarak jauh).

Standar-standar ini tidak bersifat opsional: regulasi eIDAS (Lampiran II, III dan IV) secara eksplisit merujuknya untuk mendefinisikan persyaratan minimum sertifikat berkualitas dan perangkat pembuatan tanda tangan.

Pengelolaan perangkat pembuatan tanda tangan yang aman (QSCD)

Salah satu pilar tanda tangan berkualitas adalah penggunaan perangkat pembuatan tanda tangan yang aman (QSCD — Qualified Signature Creation Device) sesuai dengan Lampiran II eIDAS. Penyedia harus memastikan bahwa:

• Kunci pribadi penandatangan tidak dapat dibuat, disimpan, atau disalin di luar QSCD.

• Pembuatan kunci dilakukan secara eksklusif di lingkungan yang tersertifikasi (sertifikasi Common Criteria EAL 4+ atau setara).

• Autentikasi penandatangan yang mendahului setiap tindakan tanda tangan didasarkan pada setidaknya dua faktor autentikasi.

Dalam konteks tanda tangan jarak jauh — semakin umum di lingkungan SaaS — persyaratan-persyaratan ini berlaku untuk server HSM (Hardware Security Module) yang menampung kunci. ANSSI telah menerbitkan profil perlindungan khusus (PP-0075, PP-0076) yang mendefinisikan kriteria keamanan yang harus dicapai.

Kebijakan kelangsungan dan pemberitahuan insiden

Artikel 19 eIDAS memberlakukan pada setiap penyedia layanan kepercayaan (berkualitas atau tidak) untuk:

• Memberi tahu otoritas pengawas (ANSSI) dan, jika perlu, otoritas perlindungan data (CNIL), dalam 24 jam setelah mendeteksi pelanggaran keamanan yang mungkin berdampak pada keandalan layanan.

• Mempertahankan rencana kelangsungan bisnis yang didokumentasikan dan diuji secara teratur.

• Memiliki kebijakan keamanan informasi yang diformalisasikan, mencakup manajemen risiko, manajemen insiden, dan kebijakan cadangan.

Persyaratan-persyaratan ini sebagian tumpang tindih dengan direktif NIS2 (2022/2555/UE), yang ditransposisikan ke hukum Prancis oleh undang-undang No. 2023-703 tanggal 1 Agustus 2023, yang mengklasifikasikan PSCo dengan ukuran signifikan di antara entitas penting atau penting yang tunduk pada kewajiban keamanan siber yang ditingkatkan.

> Temukan bagaimana organisasi Anda harus mengintegrasikan batasan-batasan ini dalam alur kerja dokumenter mereka.

---

Kewajiban RGPD khusus untuk PSCo

PSCo, pengontrol atau pemroses data?

Kualifikasi RGPD penyedia tergantung pada sifat layanan yang diberikan:

• Ketika PSCo langsung mengeluarkan sertifikat berkualitas atas nama penandatangan dan menentukan tujuan pemrosesan data pribadi (identitas, data biometrik autentikasi), ia bertindak sebagai pengontrol data sesuai dengan artikel 4(7) RGPD.

• Ketika ia mengintegrasikan API-nya ke dalam platform klien B2B dan memproses data pribadi hanya sesuai dengan instruksi klien ini, ia memiliki kualifikasi sebagai pemroses (artikel 4(8) RGPD) dan harus wajib menandatangani DPA (Data Processing Agreement) yang sesuai dengan artikel 28 RGPD.

Dalam praktik, sebagian besar PSCo SaaS menggabungkan kedua peran: pengontrol untuk manajemen infrastruktur sertifikasi mereka sendiri, pemroses untuk pemrosesan dokumen dan metadata penandatangan.

Kewajiban khusus terkait data biometrik dan identitas

Identifikasi dan autentikasi penandatangan — langkah wajib untuk mengeluarkan sertifikat berkualitas — sering melibatkan pemrosesan data sensitif: pindai identitas, selfie video, data biometrik pengenalan wajah. Data ini merupakan data pribadi yang tunduk pada RGPD, bahkan data biometrik yang tunduk pada artikel 9 RGPD (kategori khusus).

Kewajiban PSCo meliputi:

• Dasar hukum: persetujuan eksplisit (artikel 9§2a) atau, dalam kasus-kasus tertentu, kewajiban hukum (artikel 9§2b) untuk pemrosesan data biometrik.

• Durasi penyimpanan terbatas: menurut panduan CNIL, data identifikasi harus disimpan selama waktu yang benar-benar diperlukan, biasanya sesuai dengan durasi keabsahan sertifikat + durasi hukum bukti (sering 10 tahun untuk akta di bawah tanda tangan pribadi, artikel 2224 Kode Sipil).

• Analisis dampak (AIPD) wajib (artikel 35 RGPD) setiap kali pemrosesan dapat menimbulkan risiko tinggi — yang secara sistematis terjadi untuk biometri.

• Daftar pemrosesan (artikel 30 RGPD) yang terjaga dan mendokumentasikan setiap kategori pemrosesan.

Transfer data internasional

Banyak PSCo yang menampung semua atau sebagian infrastruktur mereka di luar Ruang Ekonomi Eropa (EEE). Dalam hal ini, jaminan yang sesuai seperti yang dipersyaratkan oleh bab V RGPD berlaku: keputusan kecukupan, klausul kontrak standar (SCCs) dari Komisi Eropa, atau peraturan perusahaan yang mengikat (BCR). Keputusan Schrems II (CJEU, C-311/18, 16 Juli 2020) mengingatkan bahwa transfer ke Amerika Serikat memerlukan analisis risiko negara sebelumnya.

> Untuk memahami dampak peraturan ini pada organisasi Anda, konsultasikan panduan kami.

---

Kewajiban transparansi dan informasi kepada pengguna

Kebijakan sertifikasi (PC) dan pernyataan praktik sertifikasi (DPC)

Setiap PSCo yang mengeluarkan sertifikat wajib menerbitkan Kebijakan Sertifikasi (PC) dan Pernyataan Praktik Sertifikasi (DPC), sesuai dengan standar ETSI EN 319 411. Dokumen-dokumen ini, yang dapat diakses secara bebas, merinci:

• Prosedur identifikasi dan pendaftaran penandatangan.

• Langkah-langkah keamanan fisik dan logis yang diterapkan.

• Syarat-syarat pembatalan sertifikat dan jangka waktu yang terkait.

• Tanggung jawab dan pembatasan jaminan PSCo.

Ketiadaan atau ketidaklengkapan dokumen-dokumen ini merupakan ketidaksesuaian yang dapat ditegur selama audit rekualifikasi oleh badan terakreditasi.

Informasi pra-kontrak dan kontrak kepada klien

Melampaui kewajiban murni teknis, artikel 13 RGPD mengharuskan PSCo untuk memberikan kepada setiap orang yang datanya dikumpulkan informasi yang jelas dan dapat diakses tentang:

• Identitas pengontrol data dan koordinat DPO (wajib untuk PSCo yang memproses data sensitif dalam skala besar, artikel 37 RGPD).

• Tujuan dan dasar hukum setiap pemrosesan.

• Hak-hak individu (akses, perbaikan, penghapusan, portabilitas, keberatan).

• Penerima data potensial (pemroses, otoritas).

Informasi ini harus muncul dalam kebijakan privasi layanan, dalam istilah dan kondisi, dan, jika berlaku, dalam DPA yang disimpulkan dengan klien profesional.

Timestamp berkualitas dan jejak audit

Untuk menjamin nilai bukti jangka panjang dari tanda tangan, PSCo yang serius secara sistematis menghubungkan timestamp elektronik berkualitas (artikel 42 eIDAS) dengan setiap tindakan yang ditandatangani. Timestamp ini menyusun bukti yang secara hukum dipandang ada dari data pada tanggal yang ditunjukkan. Pemeliharaan jejak audit (log identifikasi, jejak dokumen, data tanda tangan) adalah kewajiban de facto untuk memungkinkan verifikasi yudisial apa pun di kemudian hari.

> Bandingkan solusi pasar menurut kriteria ini dalam panduan selektif kami.

---

eIDAS 2.0: kewajiban baru di cakrawala 2026-2027

Regulasi eIDAS 2.0 (UE) 2024/1183

Dipublikasikan di Jurnal Resmi UE pada 30 April 2024, regulasi (UE) 2024/1183 yang disebut "eIDAS 2.0" secara signifikan memperkuat kewajiban PSCo di sekitar tiga sumbu:

• Dompet Identitas Digital Eropa (EUDI Wallet): negara-negara anggota harus menyediakan dompet identitas digital yang tersertifikasi pada 2 November 2026. PSCo harus mengintegrasikan layanan mereka dengan dompet ini untuk menawarkan tanda tangan berkualitas melalui identitas eIDAS 2.0.

• Pengelolaan atribut kesaksian: eIDAS 2.0 memperkenalkan kesaksian atribut berkualitas (QEAAs), yang dikeluarkan oleh penyedia kesaksian berkualitas. Prosedur audit dan kualifikasi baru akan berlaku.

• Penguatan pengawasan: otoritas pengawas nasional (ANSSI untuk Prancis) melihat kekuatan mereka diperluas, khususnya kemampuan untuk melakukan audit dadakan dan mengenakan tindakan perbaikan yang mengikat dalam jangka waktu yang lebih pendek.

Implikasi praktis untuk penyedia saat ini

PSCo yang sudah berkualitas di bawah eIDAS 1.0 harus melakukan pembaruan kepatuhan secara bertahap sebelum tenggat waktu yang ditetapkan oleh tindakan implementasi Komisi (dipublikasikan atau dalam proses publikasi). Adaptasi utama menyangkut:

• Perombakan infrastruktur identifikasi untuk mendukung EUDI Wallet sebagai sarana autentikasi.

• Pembaruan PC/DPC untuk mengintegrasikan tipologi sertifikat dan atribut baru.

• Penguatan persyaratan keamanan QSCD jarak jauh, dengan profil perlindungan baru yang akan datang.

Bagi perusahaan klien, ini berarti memverifikasi mulai hari ini bahwa penyedia mereka memiliki peta jalan kepatuhan eIDAS 2.0 yang didokumentasikan dan dapat diverifikasi.

Kerangka hukum yang berlaku untuk kewajiban penyedia tanda tangan elektronik

Rantai normatif yang berlaku untuk penyedia tanda tangan elektronik yang beroperasi di Prancis diatur pada beberapa tingkat hierarki yang saling melengkapi.

Kode Sipil Prancis — Pasal 1366 dan 1367

Pasal 1366 Kode Sipil mengakui dokumen elektronik sebagai cara bukti yang setara dengan dokumen kertas, dengan syarat bahwa "identitas orang dari mana dokumen itu berasal dapat dengan patut diidentifikasi dan dibuat serta disimpan dalam kondisi yang dirancang untuk menjamin integritasnya". Pasal 1367 mengklarifikasi bahwa tanda tangan elektronik "terdiri dari penggunaan proses identifikasi yang andal yang menjamin hubungannya dengan tindakan yang dilampirkan". Praduga keandalan menguntungkan tanda tangan berkualitas menurut eIDAS, membalikkan beban pembuktian untuk kepentingan penandatangan.

Regulasi eIDAS No. 910/2014/UE

Regulasi ini, yang langsung berlaku di semua negara anggota, menetapkan kerangka hukum layanan kepercayaan. Pasal 26 mendefinisikan syarat-syarat tanda tangan elektronik lanjutan; pasal 28 persyaratan sertifikat berkualitas; Lampiran I merinci konten wajib sertifikat ini. PSCo berkualitas menikmati praduga kepatuhan terhadap persyaratan teknis dan hukum regulasi (artikel 19§2), yang merupakan keuntungan besar dalam kasus sengketa.

Regulasi eIDAS 2.0 — (UE) 2024/1183

Dipublikasikan pada 30 April 2024, regulasi modifikasi ini memperkenalkan kategori layanan kepercayaan baru (kesaksian atribut berkualitas, layanan pengarsipan berkualitas) dan memperkuat kewajiban pengawasan. Ini membatalkan dan sebagian menggantikan regulasi 910/2014, dengan penerapan progresif menurut tindakan implementasi Komisi Eropa.

RGPD — Regulasi (UE) 2016/679

RGPD berlaku untuk setiap pemrosesan data pribadi yang dilakukan dalam konteks layanan tanda tangan elektronik. Pasal 5 (prinsip legalitas), 6 (dasar hukum), 9 (data sensitif), 13-14 (informasi), 28 (pemrosesan), 32 (keamanan), 33-34 (pemberitahuan pelanggaran), 35 (AIPD) dan 37 (DPO) merupakan ketentuan yang paling sering berlaku. CNIL adalah otoritas pengawas yang kompeten di Prancis dan dapat mengenakan denda hingga 20 juta euro atau 4% dari pendapatan tahunan global (artikel 83§5 RGPD).

Direktif NIS2 — (UE) 2022/2555

Ditransposisikan ke hukum Prancis oleh undang-undang No. 2023-703 tanggal 1 Agustus 2023, NIS2 mengklasifikasikan PSCo yang signifikan di antara entitas penting atau penting yang tunduk pada kewajiban manajemen risiko siber dan pemberitahuan insiden kepada ANSSI dalam 24 jam (peringatan awal) kemudian 72 jam (pemberitahuan lengkap).

Standar ETSI

Seluruh rangkaian standar EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 dan TS 119 431 merupakan referensi teknis wajib untuk audit kualifikasi. Ketidakpatuhan terhadap mereka menyebabkan ketidakmungkinan mendapatkan atau mempertahankan status berkualitas.

Risiko hukum jika tidak sesuai

Penyedia yang tidak sesuai menghadapi: penghapusan dari TSL Prancis, keterlibatan tanggung jawab kontraktual dan extracontractual, sanksi administratif CNIL, denda NIS2 yang dapat mencapai 10 juta euro atau 2% dari CA global untuk entitas penting dan 20 juta atau 4% dari CA untuk entitas penting, serta tuntutan hukum dari klien yang menderita kerugian karena tanda tangan tidak sah secara hukum.

Skenario penggunaan: bagaimana perusahaan memverifikasi kepatuhan PSCo mereka

Skenario 1 — Sebuah kelompok industri mengelola 3.000 kontrak pemasok per tahun

Sebuah kelompok industri menengah (ETI), aktif dalam manufaktur peralatan mekanis, mendematerialisasi semua kontrak pemasoknya melalui platform SaaS tanda tangan elektronik. Selama audit internal yang dipicu setelah evolusi regulasi, divisi hukum menyadari bahwa penyedia yang dipilih — awalnya dipilih berdasarkan kriteria harga — tidak terdaftar di TSL Prancis atau di TSL Eropa mana pun. Tanda tangan yang disampaikan bersifat "sederhana" tanpa mekanisme identifikasi penandatangan yang kuat.

Menghadapi risiko hukum — seluruh kontrak yang ditandatangani dapat melihat nilai bukti mereka dipersoalkan dalam kasus sengketa — perusahaan memulai migrasi ke PSCo berkualitas ANSSI. Solusi baru mengintegrasikan tanda tangan lanjutan dengan sertifikat berkualitas, timestamp berkualitas, dan jejak audit yang dapat diekspor. Proyek migrasi, diselesaikan dalam waktu kurang dari 8 minggu, memungkinkan untuk mengamankan secara retrospektif tindakan baru dan membangun kebijakan dokumentasi yang sesuai. Tim hukum memperkirakan bahwa risiko contentious terkait dengan kontrak lama tetap marginal karena mereka dijalankan tanpa keberatan, tetapi setiap tanda tangan baru sekarang tercakup.

Keuntungan yang diamati: pengurangan 60% sengketa potensial yang terkait dengan keaslian tanda tangan, dan penghematan 3,5 hari jangka waktu tanda tangan rata-rata pada kontrak kompleks berkat otomatisasi alur kerja validasi.

Skenario 2 — Kantor hukum dengan 25 kolaborator yang spesialis dalam hukum bisnis

Kantor hukum yang ingin mendigitalkan penandatanganan mandat, konsultasi, dan akta prosedural mengevaluasi beberapa penyedia. Kisi analisisnya mencakup kriteria berikut: kehadiran di TSL, publikasi PC/DPC yang dapat diakses, keberadaan DPA yang sesuai RGPD, ketersediaan DPO yang dapat dihubungi, dan sertifikasi QSCD jarak jauh.

Dari lima penyedia yang dievaluasi, hanya dua yang memenuhi semua kriteria. Kantor akhirnya memilih PSCo yang secara native menawarkan tanda tangan berkualitas melalui QSCD jarak jauh, menjamin praduga keandalan artikel 1367 Kode Sipil. Pengaturan memakan waktu 3 minggu, termasuk pelatihan. Hasilnya: 75% mandat sekarang ditandatangani dalam waktu kurang dari 24 jam dibandingkan dengan 5 hingga 7 hari sebelumnya (pengiriman pos), dan kantor dapat membenarkan kepada kliennya tingkat keamanan hukum yang ditawarkan oleh solusi — argumen diferensiasi dalam proposisi komersialnya.

Skenario 3 — Kelompok rumah sakit sekitar 1.200 tempat tidur

Kelompok rumah sakit publik ingin mendematerialisasikan kontrak kerja, konvensi magang, dan perjanjian kemitraan dengan lembaga perawatan mitra. Sensitivitas data yang diproses (data kesehatan personel keperawatan, data HR) memaksakan kewaspadaan khusus terhadap kewajiban RGPD dari PSCo.

DSI dan DPO lembaga menuntut: hosting data di Prancis dengan penyedia data kesehatan yang tersertifikasi HDS (Penyedia Data Kesehatan, sertifikasi yang disediakan oleh artikel L.1111-8 Kode Kesehatan Masyarakat), tidak ada transfer di luar EEE, AIPD terdokumentasi untuk pemrosesan identifikasi penandatangan, dan DPA yang ditandatangani sebelum peluncuran produksi apa pun.

Setelah pemilihan PSCo yang memenuhi kriteria ini, penerapan mencakup prioritas kontrak HR (sekitar 800 tindakan per tahun). Jangka waktu rata-rata penandatanganan kontrak untuk jangka waktu tertentu turun dari 9 hari menjadi kurang dari 48 jam, membebaskan kapasitas signifikan untuk tim sumber daya manusia. Lembaga memiliki kontrol audit lengkap dari persetujuan yang dikumpulkan, diaudit setiap tahun oleh DPO-nya.

Kesimpulan

Kewajiban hukum yang menimpa penyedia tanda tangan elektronik di Prancis membentuk badan normatif yang menuntut: kualifikasi eIDAS, kepatuhan RGPD, kepatuhan terhadap standar ETSI, kewajiban NIS2, dan adaptasi yang akan datang terhadap eIDAS 2.0. Bagi perusahaan pengguna, memastikan kepatuhan PSCo seseorang bukanlah tindakan opsional — ini adalah kondisi sine qua non untuk nilai probatif tindakan yang ditandatangani dan perlindungan data pribadi penandatangan.

Certyneo adalah penyedia tanda tangan elektronik yang dirancang untuk memenuhi semua persyaratan ini: kepatuhan eIDAS, RGPD by design, hosting yang berdaulat, dan peta jalan eIDAS 2.0 yang terdokumentasi. Siap untuk mengamankan tanda tangan Anda dengan kepatuhan penuh? Hubungi tim kami dan nikmati dukungan yang dipersonalisasi sejak hari pertama.