Kewajiban Penyedia Layanan Tanda Tangan Elektronik di Prancis

Pengantar

Menerapkan solusi tanda tangan elektronik di Prancis bukanlah sesuatu yang dapat direncanakan dengan sembarangan. Di balik setiap tanda tangan yang memenuhi syarat atau ditingkatkan tersembunyi puluhan kewajiban hukum yang menjadi tanggung jawab penyedia layanan kepercayaan (PSCo). Peraturan eIDAS, RGPD, kerangka kerja keamanan umum, standar ETSI… kerangka kerja peraturan ini padat dan terus berkembang. Bagi perusahaan pengguna, memahami kewajiban hukum penyedia tanda tangan elektronik Prancis eIDAS RGPD ini sangat penting untuk memilih mitra yang patuh terhadap hukum dan menghindari risiko hukum apa pun. Artikel ini merinci, bagian demi bagian, semua persyaratan yang berlaku bagi PSCo yang beroperasi di wilayah Prancis.

---

Status penyedia layanan kepercayaan yang memenuhi syarat

Apa itu PSCo menurut eIDAS?

Peraturan eIDAS No. 910/2014 membedakan dua kategori penyedia: penyedia layanan kepercayaan tidak memenuhi syarat dan penyedia yang memenuhi syarat (PSCQ). Penyedia pertama dapat menawarkan layanan tanda tangan elektronik sederhana atau ditingkatkan tanpa audit pihak ketiga yang wajib. Penyedia kedua — hanya yang diizinkan untuk mengeluarkan tanda tangan yang memenuhi syarat menurut pasal 3(15) eIDAS — harus memenuhi persyaratan yang jauh lebih ketat.

Di Prancis, Badan Keamanan Siber Nasional (ANSSI) melaksanakan peran otoritas pengawas (« Supervisory Body ») sebagaimana dimaksud dalam pasal 17 eIDAS. ANSSI menerbitkan dan memelihara daftar kepercayaan Prancis (TSL — Trust Service List), yang dapat diakses di situs resminya, yang mendaftar penyedia yang memenuhi syarat dan layanan mereka.

Prosedur kualifikasi: audit dan kepatuhan

Untuk mendapatkan status yang memenuhi syarat, PSCo harus wajib:

• Melakukan audit layanannya oleh badan penilaian kesesuaian (CAB — Conformity Assessment Body) yang diakreditasi oleh COFRAC sesuai standar EN ISO/IEC 17065.

• Menyerahkan laporan audit kepada ANSSI, yang memutuskan pemberian status yang memenuhi syarat. Status ini dievaluasi kembali minimal setiap 24 bulan (pasal 20 §1 eIDAS).

• Memberitahu ANSSI tentang setiap perubahan substansial dalam layanannya dalam jangka waktu 3 bulan sebelum perubahan yang direncanakan (pasal 21 eIDAS).

Ketidakpatuhan terhadap langkah-langkah ini membuat penyedia berisiko dicoret dari TSL dan kehilangan asumsi hukum yang terkait dengan tanda tangan yang memenuhi syarat. Bagi perusahaan klien, menggunakan PSCo yang tidak tercantum di TSL berarti tidak mendapatkan asumsi hukum apa pun tentang keandalan.

> Untuk informasi lebih lanjut tentang berbagai tingkat tanda tangan dan efek hukumnya, lihat panduan lengkap peraturan eIDAS 2.0 kami.

---

Kewajiban teknis dan keamanan yang dibebankan pada PSCo

Kepatuhan terhadap standar ETSI

Penyedia yang memenuhi syarat harus mematuhi serangkaian standar Eropa yang diterbitkan oleh Institut Standar Telekomunikasi Eropa (ETSI). Yang utama adalah:

• ETSI EN 319 401: persyaratan keamanan umum yang berlaku untuk semua PSCo.

• ETSI EN 319 411-1 dan 411-2: kebijakan dan praktik otoritas sertifikasi yang mengeluarkan sertifikat tanda tangan yang memenuhi syarat.

• ETSI EN 319 132: format tanda tangan elektronik ditingkatkan (XAdES untuk XML, PAdES untuk PDF, CAdES untuk CMS).

• ETSI EN 319 122: format CAdES untuk tanda tangan yang memenuhi syarat.

• ETSI TS 119 431: persyaratan untuk layanan pembuatan tanda tangan jarak jauh (QSCD jarak jauh).

Standar-standar ini bukanlah pilihan: peraturan eIDAS (Lampiran II, III dan IV) dengan tegas merujuknya untuk mendefinisikan persyaratan minimum sertifikat yang memenuhi syarat dan perangkat pembuatan tanda tangan.

Pengelolaan perangkat pembuatan tanda tangan yang aman (QSCD)

Salah satu pilar dari tanda tangan yang memenuhi syarat adalah penggunaan perangkat pembuatan tanda tangan yang aman (QSCD — Qualified Signature Creation Device) yang sesuai dengan Lampiran II eIDAS. Penyedia harus menjamin bahwa:

• Kunci pribadi dari penanda tidak dapat dibuat, disimpan atau disalin di luar QSCD.

• Pembuatan kunci dilakukan secara eksklusif di lingkungan bersertifikat (sertifikasi Common Criteria EAL 4+ atau setara).

• Autentikasi penanda sebelum setiap tindakan penandatanganan mengandalkan setidaknya dua faktor autentikasi.

Dalam konteks penandatanganan jarak jauh — yang semakin umum di lingkungan SaaS — persyaratan ini berlaku untuk server HSM (Hardware Security Module) yang menyimpan kunci. ANSSI telah menerbitkan profil perlindungan spesifik (PP-0075, PP-0076) yang mendefinisikan kriteria keamanan yang harus dicapai.

Kebijakan kontinuitas dan pemberitahuan insiden

Pasal 19 eIDAS mengharuskan setiap penyedia layanan kepercayaan (memenuhi syarat atau tidak) untuk:

• Memberitahu otoritas pengawas (ANSSI) dan, jika berlaku, otoritas perlindungan data (CNIL), dalam waktu 24 jam setelah mendeteksi pelanggaran keamanan yang mungkin mempengaruhi keandalan layanan.

• Menyimpan rencana kontinuitas bisnis yang terdokumentasi dan diuji secara berkala.

• Memiliki kebijakan keamanan informasi yang formal, mencakup terutama manajemen risiko, manajemen insiden dan kebijakan pencadangan.

Persyaratan ini sebagian tumpang tindih dengan yang dari direktif NIS2 (2022/2555/UE), yang ditransposisikan ke hukum Prancis dengan undang-undang No. 2023-703 tanggal 1 Agustus 2023, yang mengklasifikasikan PSCo signifikan di antara entitas penting atau penting yang tunduk pada kewajiban keamanan siber yang diperkuat.

> Temukan bagaimana tanda tangan elektronik untuk kantor hukum harus mengintegrasikan batasan-batasan ini dalam alur kerja dokumenter mereka.

---

Kewajiban RGPD khusus untuk PSCo

Apakah PSCo bertanggung jawab atas pemrosesan data atau subpemroses?

Kualifikasi RGPD dari penyedia tergantung pada sifat layanan yang diberikan:

• Ketika PSCo secara langsung mengeluarkan sertifikat yang memenuhi syarat atas nama penanda tangan dan menentukan tujuan pemrosesan data pribadi (identitas, data biometrik autentikasi), PSCo bertindak sebagai pengontrol data menurut pasal 4(7) RGPD.

• Ketika PSCo mengintegrasikan API-nya ke platform klien B2B dan memproses data pribadi sesuai dengan instruksi klien saja, PSCo mengambil peran subpemroses (pasal 4(8) RGPD) dan wajib menandatangani DPA (Data Processing Agreement) yang sesuai dengan pasal 28 RGPD.

Dalam praktik, sebagian besar PSCo SaaS menggabungkan kedua peran: pengontrol untuk mengelola infrastruktur sertifikasi mereka sendiri, subpemroses untuk pemrosesan dokumen dan metadata dari penanda tangan.

Kewajiban khusus terkait data biometrik dan identitas

Identifikasi dan autentikasi penanda tangan — langkah yang wajib untuk mengeluarkan sertifikat yang memenuhi syarat — sering melibatkan pemrosesan data sensitif: pemindaian dokumen identitas, video selfie, data biometrik pengenalan wajah. Data ini merupakan data pribadi yang tunduk pada RGPD, bahkan data biometrik yang tercakup dalam pasal 9 RGPD (kategori khusus).

Kewajiban PSCo meliputi:

• Dasar hukum: persetujuan eksplisit (pasal 9§2a) atau, dalam kasus tertentu, kewajiban hukum (pasal 9§2b) untuk pemrosesan data biometrik.

• Durasi penyimpanan terbatas: menurut panduan CNIL, data identifikasi harus disimpan sesuai kebutuhan, biasanya sesuai dengan durasi validitas sertifikat + durasi bukti legal (sering 10 tahun untuk akta swasta, pasal 2224 Kode Sipil).

• Analisis dampak (AIPD) wajib (pasal 35 RGPD) segera setelah pemrosesan kemungkinan menimbulkan risiko tinggi — yang secara sistematis terjadi untuk biometri.

• Daftar pemrosesan (pasal 30 RGPD) yang selalu diperbarui dan mendokumentasikan setiap kategori pemrosesan.

Transfer data internasional

Banyak PSCo yang menyelenggarakan semua atau sebagian infrastruktur mereka di luar Zona Ekonomi Eropa (EEA). Dalam hal ini, jaminan yang sesuai yang diminta oleh bab V RGPD harus diterapkan: keputusan kecukupan, klausul kontrak standar (SCCs) Komisi Eropa atau aturan perusahaan yang mengikat (BCR). Putusan Schrems II (CJEU, C-311/18, 16 Juli 2020) mengingatkan bahwa transfer ke Amerika Serikat memerlukan analisis risiko negara sebelumnya.

> Untuk memahami dampak dari aturan-aturan ini pada organisasi Anda, lihat panduan kami tentang tanda tangan elektronik di perusahaan.

---

Kewajiban transparansi dan informasi kepada pengguna

Kebijakan sertifikasi (PC) dan pernyataan praktik sertifikasi (DPC)

Setiap PSCo yang mengeluarkan sertifikat wajib menerbitkan Kebijakan Sertifikasi (PC) dan Pernyataan Praktik Sertifikasi (DPC), sesuai dengan standar ETSI EN 319 411. Dokumen-dokumen ini, yang dapat diakses secara bebas, merinci:

• Prosedur identifikasi dan pendaftaran penanda tangan.

• Tindakan keamanan fisik dan logis yang diterapkan.

• Persyaratan pencabutan sertifikat dan penundaan yang terkait.

• Tanggung jawab dan batasan garansi PSCo.

Ketiadaan atau ketidaklengkapan dokumen-dokumen ini merupakan ketidaksesuaian yang dapat dicatat selama audit perekualifikasi oleh badan terakreditasi.

Informasi pra-kontrak dan kontraktual kepada klien

Selain kewajiban yang murni teknis, pasal 13 RGPD mengharuskan PSCo untuk memberikan kepada setiap orang yang data-datanya dikumpulkan informasi yang jelas dan dapat diakses tentang:

• Identitas pengontrol data dan koordinat DPO (wajib untuk PSCo yang memproses data sensitif dalam skala besar, pasal 37 RGPD).

• Tujuan dan dasar hukum setiap pemrosesan.

• Hak-hak individu (akses, perbaikan, penghapusan, portabilitas, keberatan).

• Penerima data potensial (subpemroses, otoritas).

Informasi ini harus tercakup dalam kebijakan privasi layanan, dalam syarat dan ketentuan dan, jika berlaku, dalam DPA yang disepakati dengan klien profesional.

Pencap waktu yang memenuhi syarat dan jejak audit

Untuk menjamin nilai bukti jangka panjang dari tanda tangan, PSCo yang serius secara sistematis menghubungkan cap waktu elektronik yang memenuhi syarat (pasal 42 eIDAS) dengan setiap akta yang ditandatangani. Cap waktu ini merupakan bukti yang secara hukum diasumsikan keberadaan data pada tanggal yang ditunjukkan. Penyimpanan jejak audit (log identifikasi, sidik jari dokumen, data tanda tangan) adalah kewajiban faktual untuk memungkinkan verifikasi peradilan apa pun di masa depan.

> Bandingkan solusi pasar menurut kriteria-kriteria ini dalam perbandingan solusi tanda tangan elektronik kami.

---

eIDAS 2.0: kewajiban baru di cakrawala 2026-2027

Peraturan eIDAS 2.0 (UE) 2024/1183

Diterbitkan di Jurnal Resmi EU pada 30 April 2024, peraturan (UE) 2024/1183 yang disebut « eIDAS 2.0 » secara signifikan memperkuat kewajiban PSCo di sekitar tiga sumbu:

• Dompet Identitas Digital Eropa (EUDI Wallet): negara-negara anggota harus menyediakan dompet identitas digital bersertifikat sebelum 2 November 2026. PSCo harus mengintegrasikan layanan mereka dengan dompet ini untuk menawarkan tanda tangan yang memenuhi syarat melalui identitas eIDAS 2.0.

• Pengelolaan atestasi atribut: eIDAS 2.0 memperkenalkan atestasi atribut yang memenuhi syarat (QEAAs), yang dikeluarkan oleh penyedia atestasi yang memenuhi syarat. Prosedur audit dan kualifikasi baru akan berlaku.

• Penguatan pengawasan: otoritas pengawasan nasional (ANSSI untuk Prancis) melihat kekuatan mereka diperluas, khususnya kemampuan untuk menginisiasi audit kejutan dan menerapkan tindakan korektif yang mengikat dalam kerangka waktu yang dipercepat.

Implikasi praktis untuk penyedia saat ini

PSCo yang sudah memenuhi syarat di bawah eIDAS 1.0 harus melakukan kepatuhan progresif sebelum tenggat waktu yang ditetapkan oleh tindakan pelaksanaan Komisi (diterbitkan atau dalam proses publikasi). Adaptasi utama menyangkut:

• Restrukturisasi infrastruktur identifikasi untuk mendukung EUDI Wallet sebagai sarana autentikasi.

• Pembaruan PC/DPC untuk mengintegrasikan tipologi sertifikat dan atestasi baru.

• Penguatan persyaratan keamanan dari QSCD jarak jauh, dengan profil perlindungan baru yang akan datang.

Bagi perusahaan klien, ini berarti memverifikasi sejak dini bahwa penyedia mereka memiliki roadmap kepatuhan eIDAS 2.0 yang didokumentasikan dan dapat diverifikasi.

Kerangka kerja hukum yang berlaku untuk kewajiban penyedia tanda tangan elektronik

Rantai normatif yang berlaku untuk penyedia tanda tangan elektronik yang beroperasi di Prancis terbagi pada beberapa tingkat hirarki yang saling melengkapi.

Kode Sipil Prancis — Pasal 1366 dan 1367

Pasal 1366 Kode Sipil mengakui tulisan elektronik sebagai cara bukti yang setara dengan tulisan kertas, asalkan « orang yang darinya berasal dapat diidentifikasi dengan sepatutnya dan itu dibuat dan disimpan dalam kondisi yang sedemikian rupa sehingga menjamin integritas ». Pasal 1367 mengklarifikasi bahwa tanda tangan elektronik « terdiri dari penggunaan prosedur identifikasi yang dapat diandalkan menjamin hubungannya dengan akta yang dilampirkan ». Asumsi keandalan menguntungkan tanda tangan yang memenuhi syarat menurut eIDAS, membalikkan beban bukti atas nama penanda tangan.

Peraturan eIDAS No. 910/2014/UE

Peraturan ini, yang langsung berlaku di semua negara anggota, menetapkan kerangka kerja hukum untuk layanan kepercayaan. Pasal 26-nya mendefinisikan syarat-syarat tanda tangan elektronik ditingkatkan; pasal 28-nya persyaratan sertifikat yang memenuhi syarat; Lampiran I-nya rinci konten wajib sertifikat ini. PSCo yang memenuhi syarat mendapat manfaat dari asumsi kepatuhan terhadap persyaratan teknis dan hukum peraturan (pasal 19§2), yang merupakan keuntungan utama jika terjadi sengketa.

Peraturan eIDAS 2.0 — (UE) 2024/1183

Diterbitkan pada 30 April 2024, peraturan penyesuai ini memperkenalkan kategori layanan kepercayaan baru (atestasi atribut yang memenuhi syarat, layanan pengarsipan yang memenuhi syarat) dan memperkuat kewajiban pengawasan. Ini mencabut dan sebagian mengganti peraturan 910/2014, dengan penerapan progresif menurut tindakan pelaksanaan Komisi Eropa.

RGPD — Peraturan (UE) 2016/679

RGPD berlaku untuk setiap pemrosesan data pribadi yang dilakukan dalam kerangka layanan tanda tangan elektronik. Pasal-pasal 5 (prinsip keabsahan), 6 (dasar hukum), 9 (data sensitif), 13-14 (informasi), 28 (subkontrak), 32 (keamanan), 33-34 (pemberitahuan pelanggaran), 35 (AIPD) dan 37 (DPO) merupakan ketentuan yang paling sering berlaku. CNIL adalah otoritas pengawas yang kompeten di Prancis dan dapat mengenakan denda hingga 20 juta euro atau 4% dari pendapatan tahunan dunia (pasal 83§5 RGPD).

Direktif NIS2 — (UE) 2022/2555

Ditransposisikan ke hukum Prancis dengan undang-undang No. 2023-703 tanggal 1 Agustus 2023, NIS2 mengklasifikasikan PSCo signifikan di antara entitas penting atau penting yang tunduk pada kewajiban pengelolaan risiko siber dan pemberitahuan insiden kepada ANSSI dalam 24 jam (peringatan awal) kemudian 72 jam (pemberitahuan lengkap).

Standar ETSI

Himpunan standar EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 dan TS 119 431 merupakan referensi teknis yang wajib untuk audit kualifikasi. Ketidakpatuhannya mengakibatkan ketidakmungkinan memperoleh atau mempertahankan status yang memenuhi syarat.

Risiko hukum dalam hal ketidaksesuaian

Penyedia yang tidak sesuai berisiko mengalami: pencocokan dari TSL Prancis, tanggung jawab kontraktual dan ekstrakontraksional, sanksi administratif CNIL, denda NIS2 yang dapat mencapai 10 juta euro atau 2% dari CA dunia untuk entitas penting dan 20 juta atau 4% dari CA untuk entitas penting, serta tuntutan yudisial dari klien yang menderita kerugian karena tanda tangan yang tidak valid secara hukum.

Skenario penggunaan: bagaimana perusahaan memverifikasi kepatuhan PSCo mereka

Skenario 1 — Grup industri mengelola 3.000 kontrak pemasok per tahun

Grup industri berukuran menengah (ETI), aktif dalam manufaktur peralatan mekanis, mendemokratisasi seluruh kontrak pemasok melalui platform SaaS tanda tangan elektronik. Selama audit internal yang dipicu oleh evolusi peraturan, direktur legal menemukan bahwa penyedia yang dipilih — awalnya dipilih berdasarkan kriteria harga — tidak terdaftar di TSL Prancis, juga tidak di TSL Eropa mana pun. Tanda tangan yang dikeluarkan adalah tipe « sederhana » tanpa mekanisme identifikasi yang kuat dari penanda tangan.

Menghadapi risiko hukum — seluruh kontrak yang ditandatangani dapat melihat nilai bukti mereka dikontestasikan jika terjadi sengketa — perusahaan memulai migrasi ke PSCo yang memenuhi syarat ANSSI. Solusi baru mengintegrasikan tanda tangan ditingkatkan dengan sertifikat yang memenuhi syarat, cap waktu yang memenuhi syarat dan jejak audit yang dapat diekspor. Proyek migrasi, yang dilakukan dalam waktu kurang dari 8 minggu, memungkinkan untuk mengamankan tindakan baru secara retroaktif dan membangun kebijakan dokumenter yang patuh. Tim hukum memperkirakan bahwa risiko sengketa yang terkait dengan kontrak lama tetap marginal karena eksekusi tanpa kontestasi, tetapi setiap tanda tangan baru sekarang tercakup.

Keuntungan yang diamati: pengurangan 60% dari sengketa potensial yang terkait dengan keaslian tanda tangan, dan keuntungan 3,5 hari rata-rata dalam waktu penandatanganan di kontrak kompleks berkat otomatisasi alur kerja validasi.

Skenario 2 — Kantor hukum dengan 25 kolaborator yang spesialis dalam hukum bisnis

Kantor hukum yang ingin mendigitalkan penandatanganan mandat, konsultasi dan akta prosedur mengevaluasi beberapa penyedia. Kisi analisisnya mengintegrasikan kriteria berikut: kehadiran di TSL, publikasi PC/DPC yang dapat diakses, keberadaan DPA yang sesuai dengan RGPD, ketersediaan DPO yang dapat dihubungi dan sertifikasi QSCD jarak jauh.

Dari lima penyedia yang dievaluasi, hanya dua yang memenuhi semua kriteria. Kantor akhirnya memilih PSCo yang menawarkan secara asli tanda tangan yang memenuhi syarat melalui QSCD jarak jauh, menjamin asumsi keandalan pasal 1367 Kode Sipil. Implementasi memakan waktu 3 minggu, pelatihan termasuk. Hasilnya: 75% dari mandat sekarang ditandatangani dalam waktu kurang dari 24 jam versus 5 sampai 7 hari sebelumnya (pengiriman pos), dan kantor dapat membuktikan kepada kliennya tingkat keamanan hukum yang ditawarkan oleh solusi — argumen pembeda dalam proposisi komersialnya.

Skenario 3 — Pengelompokan rumah sakit sekitar 1.200 tempat tidur

Pengelompokan rumah sakit publik ingin mendemokratiskan kontrak kerja, perjanjian pelatihan dan perjanjian kemitraan dengan fasilitas perawatan kesehatan mitra. Sensitivitas data yang diproses (data kesehatan staf keperawatan, data HR) memaksakan perhatian khusus pada kewajiban RGPD dari PSCo.

DSI dan DPO dari fasilitas menuntut: penyimpanan data di Prancis bersama penyedia penyimpanan data kesehatan yang bersertifikat HDS (Hébergeur de Données de Santé, sertifikasi yang diberikan oleh pasal L.1111-8 Kode Kesehatan Masyarakat), tidak ada transfer di luar EEA, AIPD yang terdokumentasi untuk pemrosesan identifikasi penanda tangan, dan DPA yang ditandatangani sebelum produksi apa pun.

Setelah pemilihan PSCo yang memenuhi kriteria ini, penerapannya mencakup prioritas kontrak HR (sekitar 800 akta per tahun). Waktu rata-rata penandatanganan kontrak jangka tertentu berkurang dari 9 hari menjadi kurang dari 48 jam, membebaskan kapasitas signifikan untuk tim sumber daya manusia. Fasilitas memiliki akurasi lengkap dari persetujuan yang dikumpulkan, diaudit setiap tahun oleh DPO-nya.

Kesimpulan

Kewajiban hukum yang membebani penyedia tanda tangan elektronik di Prancis membentuk kumpulan normatif yang menuntut: kualifikasi eIDAS, kepatuhan RGPD, kepatuhan terhadap standar ETSI, kewajiban NIS2 dan adaptasi mendatang ke eIDAS 2.0. Bagi perusahaan pengguna, memastikan kepatuhan PSCo mereka bukanlah inisiatif opsional — ini adalah kondisi yang diperlukan dari nilai bukti akta yang ditandatangani dan perlindungan data pribadi penanda tangan.

Certyneo adalah penyedia tanda tangan elektronik yang dirancang untuk memenuhi semua kewajiban ini: kepatuhan eIDAS, RGPD by design, penyimpanan yang berdaulat dan roadmap eIDAS 2.0 yang terdokumentasi. Siap mengamankan tanda tangan Anda dengan kepatuhan penuh? Minta demonstrasi atau buat akun Anda di Certyneo dan nikmati pendampingan yang dipersonalisasi sejak hari pertama.