Elektroninės parašo teikėjo prievolės Prancūzijoje: eIDAS, RGPD, ANSSI

Įvadas

Diegti elektroninio parašo sprendimą Prancūzijoje nėra improvizacija. Už kiekvieno kvalifikuoto ar pažangaus parašo slypi dešimtys teisinių prievolių, kurios priklausytina patikimumo paslaugų teikėjui (PPT). Reglamentas eIDAS, RGPD, bendras saugumo standartas, ETSI normos... reguliavimo sistema yra tiek tankiai, tiek nuolat besikeičianti. Naudojančioms paslaugas įmonėms suprasti šias teisinės prievolės yra būtina pasirinkti atitinkantį partnerį ir išvengti jokios teisinės rizikos. Šis straipsnis išsamiai aprašo, skyrį po skyriaus, visus reikalavimus, kurie taikomi PPT, veikiančioms Prancūzijos teritorijoje.

---

Kvalifikuoto patikimumo paslaugų teikėjo statusas

Kas yra PPT pagal eIDAS?

Reglamentas eIDAS Nr. 910/2014 skiria dvi teikėjų kategorijas: nequalifikuotus patikimumo paslaugų teikėjus ir kvalifikuotus teikėjus (KPPT). Pirmieji gali siūlyti paprastos arba pažangios elektroninio parašo paslaugos be privalomojo trečiosios šalies audito. Antrieji — vieninteliai, turintys teisę išduoti kvalifikuotus parašus pagal eIDAS 3(15) straipsnį — turi atitikti žymiai griežtesnius reikalavimus.

Prancūzijoje Nacionalinis informacijos sistemų saugumo biuras (ANSSI) atlieka priežiūros institucijos („Supervisory Body") vaidmenį, numatytą eIDAS 17 straipsnyje. Jis publikuoja ir palaiko Prancūzijos patikimumo sąrašą (TSL — Trust Service List), prieigą prie kurio galima rasti jo oficialioje svetainėje, išvardydamą kvalifikuotus teikėjus ir jų paslaugas.

Kvalifikavimo procedūra: auditas ir atitiktis

Kad gautų kvalifikuoto statuso, PPT privalo:

• Turėti savo paslaugas auditavusią atitikties vertinimo organą (AVO — Conformity Assessment Body), akredituotą COFRAC pagal EN ISO/IEC 17065 standartą.

• Pateikti audito ataskaitą ANSSI, kuri sprendžia dėl kvalifikuoto statuso suteikimo. Šis statusas perrūpinamas bent kartą per 24 mėnesius (eIDAS 20 §1).

• Pranešti ANSSI apie bet kokius svarbius pokyčius jos paslaugose per 3 mėnesius prieš numatytą pakeitimą (eIDAS 21 straipsnis).

Šių žingsnių nesilaikymas atsidaro teikėjui pavojų būti išbrauktam iš TSL ir prarasti teisinės patikimumo prezumpcijos, susijusios su kvalifikuotu parašu. Klientų įmonėms pasitelkiant ne TSL sąraše nurodytą PPT reiškia neturinti jokios teisinės patikimumo prezumpcijos.

> Norėdami sužinoti daugiau apie skirtingus parašo lygius ir jų teisinius poveikius, skaitykite mūsų vadovą.

---

Techniniai ir saugumo reikalavimai, keliami PPT

ETSI standartų laikymasis

Kvalifikuoti teikėjai turi atitikti Europos telekomunikacijos standartų instituto (ETSI) publikuotus Europos standartus. Pagrindiniai iš jų yra:

• ETSI EN 319 401: bendri saugumo reikalavimai, taikytini visiems PPT.

• ETSI EN 319 411-1 ir 411-2: sertifikavimo valdžios, išduodančios kvalifikuotų parašų sertifikatus, politikos ir praktikos.

• ETSI EN 319 132: pažangaus elektroninio parašo formatai (XAdES XML, PAdES PDF, CAdES CMS).

• ETSI EN 319 122: CAdES formatas kvalifikuotiems parašams.

• ETSI TS 119 431: reikalavimai tolimų parašų kūrimo paslaugoms (tolimieji QSCD).

Šie standartai nėra pasirinkimas: eIDAS reglamentas (Priedai II, III ir IV) juos aiškiai nurodo, norėdamas apibrėžti minimalius reikalavimus kvalifikuotiems sertifikatams ir parašų kūrimo įrenginiams.

Saugaus parašo kūrimo įrenginio (QSCD) valdymas

Vienas iš pagrindinių kvalifikuoto parašo stulpų yra saugaus parašo kūrimo įrenginio (QSCD — Qualified Signature Creation Device), atitinkančio eIDAS II Priedą. Teikėjas turi garantuoti, kad:

• Pasirašiusiojo privatus raktas negali būti sukurtas, saugomas arba kopijuojamas už QSCD ribų.

• Rakto generavimas vyksta tik sertifikuotoje aplinkoje (Common Criteria EAL 4+ sertifikacija arba lygi).

• Pasirašiusiojo autentifikacija prieš bet kokį parašo veiksmą remiasi bent dviem autentifikavimo veiksniais.

Tolimo parašo kontekste — kuris vis labiau paplinta SaaS aplinkose — šie reikalavimai taikomi serverio HSM (Hardware Security Module), saugantis raktus. ANSSI publikavo konkrečius apsaugos profilius (PP-0075, PP-0076), apibrėžiančius pasiekiamus saugumo kriterijus.

Tęstinumo politika ir incidentų pranešimas

eIDAS 19 straipsnis implikuoja, kad bet kuris patikimumo paslaugų teikėjas (kvalifikuotas ar ne) privalo:

• Pranešti priežiūros institucijai (ANSSI) ir, prireikus, duomenų apsaugos institucijai (CNIL), per 24 valandas po saugumo pažeidimo, galinčio turėti įtakos paslaugos patikimumui, aptikimo.

• Turėti dokumentuotą ir reguliariai testuotą verslo tęstinumo planą.

• Turėti formalizuotą informacijos saugumo politiką, apimančią risikos valdymą, incidentų valdymą ir atsarginės kopijos politiką.

Šie reikalavimai iš dalies sutampa su NIS2 direktyvos (2022/2555/ES) reikalavimais, kurie Prancūzijos teisėje buvo perkelti įstatymu Nr. 2023-703 (2023 m. rugpjūčio 1 d.), kuris klasifikuoja reikšmingus PPT kaip svarbias arba esmingas subjektus, sulaukiančias stipresnių kibernetiniu saugumo prievolių.

> Sužinokite, kaip dokumentų valdymo sistemos turi integruoti šiuos apribojimus į jų darbo procesus.

---

RGPD specifinės prievolės PPT

PPT, atsakinga už duomenų apdorojimą ar pagrindinis apdorojamasis?

PPT RGPD klasifikacija priklauso nuo suteikiamos paslaugos pobūdžio:

• Kai PPT tiesiogiai išduoda pasirašiusiajam kvalifikuotus sertifikatus ir nustato asmeninių duomenų apdorojimo tikslus (tapatybę, biometrinius autentifikavimo duomenis), jis veikia kaip atsakingas už duomenų apdorojimą pagal RGPD 4(7) straipsnį.

• Kai jis integruoja savo API į B2B kliento platformą ir apdoroja asmeninius duomenis tik šio kliento nurodymais, jis yra pagrindinis apdorojamasis (RGPD 4(8) straipsnis) ir privalo obligatoriniu būdu sudaryti DPA (Data Processing Agreement), atitinkantį RGPD 28 straipsnį.

Praktikoje dauguma SaaS PPT sujungia dvi kvalifikacijas: atsakingos dėl savo sertifikavimo infrastruktūros valdymo, pagrindinės - dėl pasirašiusiųjų dokumentų ir metaduomenų apdorojimo.

Specifinės prievolės, susijusios su biometriniais ir tapatybės duomenimis

Pasirašiusiojo identifikacija ir autentifikacija — privalomasis žingsnis, norint išduoti kvalifikuotą sertifikatą — dažnai apima jautrių duomenų apdorojimą: tapatybės dokumento skenavimą, vaizdo selfie, veido atpažinimo biometrinius duomenis. Šie duomenys sudaro asmeninius duomenis, kuriems taikytinas RGPD, arba biometrinius duomenis pagal RGPD 9 straipsnį (ypatingos kategorijos).

PPT prievolės apima:

• Teisinį pagrindą: aiškų sutikimą (RGPD 9§2a) arba, kai kuriais atvejais, teisinį įpareigojimą (RGPD 9§2b) biometrinių duomenų apdorojimui.

• Ribotą saugojimo trukmę: pagal CNIL gaires, identifikavimo duomenys turėtų būti saugomi tik tai, kad būtų neišvengiamai reikalinga, dažniausiai suderinami su sertifikato galiojimo trukme + teisinė įrodymų saugojimo trukmė (dažnai 10 metų privatūs aktams, Civilinio kodekso 2224 straipsnis).

• Privalomą poveikio analizę (AIPD) (RGPD 35 straipsnis), kai tik apdorojimas gali sukelti aukštą riziką — tai sistemingas biometrijos atvejis.

• Apdorojimo registrą (RGPD 30 straipsnis), kuris yra atnaujinamas ir dokumentuoja kiekvieną apdorojimo kategoriją.

Tarptautiniai duomenų perdavimai

Dažnai PPT saugo visą arba dalį savo infrastruktūros už Europos ekonominės erdvės (EER) ribų. Šiuo atveju RGPD V skyriuje reikalaujamos atitinkamos garantijos yra būtinos: adekvatumo sprendimas, tipinės sutarties sąlygos (SCC) iš Komisijos arba įmonės viduje nustatytos taisyklės (BCR). Sprendimas Schrems II (CJUE, C-311/18, 2020 m. liepos 16 d.) priminė, kad persiuntimas į JAV reikalija preliminarią šalies rizikos analizę.

> Norėdami suvokti šių taisyklių poveikį jūsų organizacijai, skaitykite mūsų vadovą.

---

Skaidrumo ir informavimo prievolės vartotojams

Sertifikavimo politika (PC) ir sertifikavimo praktikos deklaracija (SPD)

Bet kuris PPT, išduodantis sertifikatus, privalo publikuoti sertifikavimo politiką (PC) ir sertifikavimo praktikos deklaraciją (SPD), atitinkančias ETSI EN 319 411 standartą. Šie dokumentai, laisvai prieinami, aprašo:

• Pasirašiusiųjų identifikavimo ir registracijos procedūras.

• Taikomus fizinius ir loginius saugumo priemones.

• Sertifikatų atšaukimo sąlygas ir susijusius laiko tarpus.

• PPT atsakomybes ir garantijų apribojimus.

Šių dokumentų nebuvimas arba nepilnumas yra neatitiktis, kuri gali būti pastebėta per akredituoto organo audito perrūpinimą.

Prieš sutartinė ir sutartinė informacija klientams

Be grynai techninių RGPD privolių, 13 straipsnis reikalauja PPT suteikti kiekvienam asmeniui, kurio duomenys renkami, aiškią ir lengvai prieinamą informaciją apie:

• Apdorojimo atsakingo asmens tapatybę ir duomenų apsaugos pareigūno (DPO) kontaktus (privalomas PPT, kuris apdoroja dideliu mastu jautrius duomenis, RGPD 37 straipsnis).

• Kiekvieno apdorojimo tikslus ir teisinius pagrindus.

• Asmenų teises (prieiga, pataisymas, ištrynimas, perkelimo teisė, prieštarimas).

• Galimus duomenų gavėjus (pagrindinis apdorojamasis, institucijos).

Šia informacija turi būti nurodytos paslaugos konfidencialumo politikoje, naudojimo sąlygose ir, prireikus, su profesionaliais klientais sudarytame DPA.

Kvalifikuotas žymėjimas ir audito šaltinis

Norėdami garantuoti parašų ilgalaikę patikimumo vertę, atsakingieji PPT sistemingai susieja kiekvieną parašytą aktą su kvalifikuotu elektroniniu laiko žymėjimu (eIDAS 42 straipsnis). Šis laiko žymėjimas yra teisiškai prielaidžiama įrodymas, kad duomenys egzistavo nurodytą dieną. Audito šaltinio saugojimas (identifikavimo žurnalai, dokumento hešas, parašo duomenys) yra faktinė prievolė, kad būtų galima vėliau patikrinti.

> Palyginkite rinkos sprendimus pagal šiuos kriterijus mūsų lyginant vadove.

---

eIDAS 2.0: naujos privolės, artėjančios 2026-2027

Reglamentas eIDAS 2.0 (ES) 2024/1183

Publikuota ES Oficialame žurnale 2024 m. balandžio 30 d., reglamentas (ES) 2024/1183, vadinamas „eIDAS 2.0", žymiai sustiprino PPT privolės aplink tris ašis:

• Europos skaitmeninės tapatybės portfelį (EUDI Wallet): valstybės narės turi suteikti sertifikuotą skaitmeninės tapatybės portfelį iki 2026 m. lapkričio 2 d. PPT turės integruoti savo paslaugą su šiuo portfeliu, norėdamos siūlyti kvalifikuotus parašus per eIDAS 2.0 tapatybę.

• Atributų liudijimų valdymas: eIDAS 2.0 įveda kvalifikuotus atributų liudijimus (QEAAs), išduodamus kvalifikuotų liudijimo teikėjų. Bus taikytos naujos audito ir kvalifikavimo procedūros.

• Priežiūros sustiprinimas: nacionalinės priežiūros institucijos (ANSSI Prancūzijai) turi išplėstus įgaliojimus, ypač galimybę vykdyti nenumaditnus auditus ir taikyti privalomas taisomąsias priemones per sutrumpintus laiko tarpus.

Praktinės pasekmes dabartiniams teikėjams

Jau pagal eIDAS 1.0 kvalifikuoti PPT turės pamažu susiderinti prieš nustatytas Komisijos įgyvendinimini aktais (publikuotus ar paruošiamus) datas. Pagrindiniai pritarimai apima:

• Identifikavimo infrastruktūros pertvarką, norint suteikti EUDI Wallet kaip autentifikavimo priemonę.

• PC/SPD atnaujinimą, integruojant naujas sertifikatų ir liudijimų kategorijas.

• QSCD tolimųjų saugumo reikalavimų stiprinimą, su naujais priimtais apsaugos profiliais.

Kliento įmonėms tai reiškia jau šiandien patikrinti, kad jų teikėjas turi dokumentuotą ir patikrintiną eIDAS 2.0 atitikties kelionės žemėlapį.

Teisinis reguliavimas, taikytinas elektroninio parašo teikėjų prievolėms

Norminė grandinė, taikytina elektroninio parašo teikėjams, veikiantiems Prancūzijoje, yra sutvarkyta keliose komplementariose hierarchinėse lygmenų.

Prancūzijos civilinis kodeksas — 1366 ir 1367 straipsniai

1366 straipsnis pripažįsta elektroninį rašytą kaip tokios pat įrodinimo vertės kaip popierinį rašytą, jei „gali būti tinkamai identifikuota asmuo, iš kurio jis kilo, ir jis yra nustatytas bei saugomas sąlygomis, skirtas garantuoti jo vientisumą". 1367 straipsnis patikslina, kad elektroninis parašas „sudaro tam tikro patikimumo identifikavimo procesu naudojimas, garantuojantis jo ryšį su priešaktyje prie kurio jis prisega". Patikimumų prezumpcija palaiko kvalifikuoti parašai pagal eIDAS, apverčiantys įrodymų naštą pasirašiusiojo naudai.

Reglamentas eIDAS Nr. 910/2014/ES

Šis reglamentas, tiesiogiai taikomas visose valstybėse narėse, nustato patikimumo paslaugų teisinį reguliavimą. Jo 26 straipsnis apibrėžia pažangaus elektroninio parašo sąlygas; 28 straipsnis — kvalifikuotų sertifikatų reikalavimus; I Priedas — šių sertifikatų privalomą turinį. Kvalifikuoti PPT naudoja patikimumų atitiktyje su reglamento techniniais ir teisiniais reikalavimais (19§2 straipsnis), kas yra didelė predavantas ginče atveju.

Reglamentas eIDAS 2.0 — (ES) 2024/1183

Publikuota 2024 m. balandžio 30 d., šis pakeistasis reglamentas pristato naujas patikimumo paslaugų kategorijas (kvalifikuotus atributų liudijimus, kvalifikuotus archyvavimo paslaugas) ir sustiprena priežiūros prievolės. Jis panaikina ir iš dalies keičia 910/2014 reglamentą, su palaipsni taikyba pagal Komisijos įgyvendinimo aktus.

RGPD — Reglamentas (ES) 2016/679

RGPD taikomas bet kokiam asmeninių duomenų apdorojimui, atliekamam elektroninio parašo paslaugos rėmuose. 5 straipsniai (teisumo principai), 6 (teisinis pagrindas), 9 (jautrus duomenys), 13-14 (informacija), 28 (pagrindinis apdorojamasis), 32 (saugumas), 33-34 (saugumo pažeidimo pranešimas), 35 (AIPD) ir 37 (DPO) sudaro dažniausiai taikomos nuostatas. CNIL yra kompetentinga priežiūros institucija Prancūzijoje ir gali skirti baustis iki 20 milijonų eurų arba 4% metinio pasaulio apyvartos (RGPD 83§5 straipsnis).

Direktyva NIS2 — (ES) 2022/2555

Perimta Prancūzijos teisėje įstatymu Nr. 2023-703 (2023 m. rugpjūčio 1 d.), NIS2 klasifikuoja reikšmingus PPT kaip svarbias ar esmingas subjektus, kuriems keliami kibernetinio saugumo rizikos valdymo ir incidentų pranešimo ANSSI įpareigojimai per 24 valandas (ankstyvasis įspėjimas), o tada 72 valandas (pilnas pranešimas).

ETSI standartai

Visas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ir TS 119 431 normos sudaro obligatorinę techninę referencija kvalifikavimo auditui. Jų nesilaikymas veda į negalią gauti arba išlaikyti kvalifikuotą statusą.

Teisinė rizika dėl neatitikties

Nesuderintas teikėjas yra susiduriąs su: TSL nubraižymu, sutartine ir nesudaryta atsakomybe, CNIL administracinėmis bausmėmis, NIS2 baudomis, galinčiomis pasiekti 10 milijonų eurų arba 2% pasaulio CA svarbiems subjektams ir 20 milijonų arba 4% CA esmingiems subjektams, taip pat kliento ieškinius, sudarytais iš dėl nepatikimų parašų fizinio pagrindo.

Naudojimo scenarijai: kaip įmonės patikrina savo PPT atitiktį

1 scenarijus — Pramonės grupė, valdanti 3 000 tiekėjų kontraktų per metus

Vidurinės dydžio pramonės grupė (ETI), veikianti mechaninių įrangos gamyboje, demateriazuoja visus savo tiekėjų kontraktus naudodama SaaS elektroninio parašo platformą. Vidinio audito metu, kurį palietė teisinės nuostatos pakeitimas, jurdinė vadovybė nustato, kad pasirinktas teikėjas — iš pradžių pasirinktas pagal kainą — nėra užregistruotas nei Prancūzijos TSL, nei jokios Europos TSL. Išduoti parašai yra „paprastos" tipo be robustnios pasirašiusiojo identifikavimo mechanizmo.

Susidūrus su teisinės rizikos — visi pasirašyti kontraktai galėtų matyti jų įrodinimo vertę ginčijamą litigo atveju — įmonė pradeda migraciją į kvalifikuotą ANSSI PPT. Naujas sprendimas integruoja pažangų parašą su kvalifikuotu sertifikatu, kvalifikuotą laiko žymėjimą ir eksportuojamą audito šaltinį. Migracijos projektas, įvykdytas per mažiau nei 8 savaites, leidžia atgaline data sutvirtinti naujus aktus ir nustatyti atitinkantį dokumentų politiką. Jurdinės komandos įvertina, kad rizika, susijusi su senų kontraktų ginču, lieka maža dėl jų vykdymo be prieštaravimo, tačiau bet kuris naujas parašas yra dabar apdraustas.

Stebėti pelna: 60% sumažinimas galimų parašo autentiškumo ginčų, ir 3,5 dienų vidurkio greitumas kompleksinių kontraktų signavimo, dėka darbo proceso automatizavimo.

2 scenarijus — Advokačių kontora iš 25 bendradarbių, specializuojanti verslo teisę

Advokačių kontora, siekianti paskaitytinti mandatų, konsultacijų ir procesinio akto parafą, įvertina kelis teikėjus. Jos vertinimo sielis integruoja šiuos kriterijus: buvimą TSL, prieinamą PC/SPD publikavimą, atitinkančio RGPD DPA egzistenciją, pasiekiamą DPO ir QSCD tolimųjų sertifikavimą.

Iš penkių įvertintų teikėjų, tik du atitinka visus kriterijus. Kontora galiausiai pasirinkta PPT, siūlanti natūraliai kvalifikuotą parašą per QSCD tolimus, garantuojančią Civilinio kodekso 1367 straipsnio patikimumo prezumpciją. Diegimas trunka 3 savaites, mokymas įtrauktas. Rezultatas: 75% mandatų yra dabar pasirašyti per mažiau nei 24 valandas, prieš tai 5-7 dienas (pašto siuntimas), ir kontora gali nustatyti savo klientams sprendimo saugumo teisinę lygį — reikšmingas skirtumavimo argumentas jos komercinėms pasiūlomose.

3 scenarijus — Ligoninių grupė iš apie 1 200 lovų

Ligoninių grupė viešojo sektoriaus seka, siekianti demateriazuoti darbo kontraktus, staž susitarimus ir partnerystės susitarimus su partnerinėmis sveikatos priežiūros įstaigomis. Duomenų jautrumas (sveikatos duomenys medicinos personalui, HR duomenys) nustato atsargumo būtinybę dėl PPT RGPD privolių.

ITS ir organizacijos DPO reikalauja: duomenų saugojimą Prancūzijoje pas sveikatos duomenų saugotuvą, sertifikuotą HDS (saugotojas sveikatos duomenų, sertifikacija pagal viešuosinę sveikatos kodekso 1111-8 straipsnį), duomenų nepersiuntimą išeigyje EER, dokumentuotą AIPD teikėjo identifikavimui, ir DPA pasirašymą prieš bet kokį gamybos pradžią.

Po PPT pasirinkimo, atitinkančio šiuos kriterijus, diegimas pirmiausia apima HR kontraktus (apie 800 aktų per metus). Vidutinis sutartų laukimo signavimo laikas sumažėjo nuo 9 dienų iki mažiau nei 48 valandų, išlaisvinant žymiai didelę kapacitetą HR komandos resursams. Organizacija turi pilną sutikimų sudarytų galimybę, auditoj kasmet savo DPO.

Išvada

Teisinės privolės, keliamos elektroninio parašo teikėjams Prancūzijoje, sudaro reiklingą norminę dalį: eIDAS kvalifikacija, RGPD atitiktis, ETSI standartų laikymasis, NIS2 privolės ir bevielė eIDAS 2.0 adaptacija. Naudojančioms paslaugas įmonėms užtikrinti savo PPT atitiktį nėra pasirinkimas — tai yra būtina sąlyga parašytų aktų įrodinimo vertei ir pasirašiusiųjų asmeninių duomenų apsaugai.

Certyneo yra elektroninio parašo paslaugų teikėjas, kuriamas, norėdamas atitikti visas šias privolės: eIDAS atitiktis, RGPD pagal dizainą, suverenūs saugojimas ir dokumentuota eIDAS 2.0 kelionės žemėlapis. Paruoštas sutvirtinti jūsų parašus su pilna atitiktimi? Pradėkite šiandien ir naudokitės asmeninių patarimo nuo pirmosios dienos.