Elektroninio parašo paslaugų teikėjo pareigos Prancūzijoje

Įvadas

Diegti elektroninio parašo sprendimą Prancūzijoje negalima improvizuoti. Kiekvieno sertifikuoto ar išplėstinio parašo metu paslepia dešimtys teisinių pareigų, kurias turi pasiimti patikimumo paslaugų teikėjas (PSCo). eIDAS reglamentas, GDPR, bendrasis saugumo standartas, ETSI normos... reglamentavimo kadras yra tiek tankus, tiek besikeičiantis. Naudotojoms esančioms įmonėms suprasti šias elektroninio parašo paslaugų teikėjo teisinės pareigos Prancūzijoje eIDAS GDPR yra būtina norint pasirinkti atitinkančią partnerę ir išvengti bet kokio teisinio rizikos. Šis straipsnis detaliai, skyrius po skyriaus, aprašo visus reikalavimus, taikomus PSCo, veikiantiems Prancūzijos teritorijoje.

---

Sertifikuoto patikimumo paslaugų teikėjo statusas

Kas yra PSCo pagal eIDAS?

Reglamentas eIDAS Nr. 910/2014 išskiria dvi paslaugų teikėjų kategorijas: patikimumo paslaugų teikėjai nesertifikuoti ir teikėjai sertifikuoti (PSCQ). Pirmieji gali siūlyti paprastus arba išplėstus elektroninio parašo paslaugus be privalomo trečiosios šalies audito. Antrieji — vieninteliai, turintys teisę išduoti sertifikuotus parašus pagal eIDAS 3(15) straipsnį — turi tenkinti itin griežtus reikalavimus.

Prancūzijoje Nacionalinė informacijos sistemų saugumo agentūra (ANSSI) atlieka priežiūros institucijos („Supervisory Body") vaidmenį, numatytą eIDAS 17 straipsnyje. Ji skelbia ir išlaiko Prancūzijos patikimumo sąrašą (TSL — Trust Service List), prieinamą jos oficialaus interneto svetainėje, kuriame išvardijami sertifikuoti teikėjai ir jų paslaugos.

Sertifikavimo procedūra: auditas ir atitiktis

Norint gauti sertifikuotą statusą, PSCo privalai:

• Pasikonsultuoti su savo paslaugomis per COFRAC akredituotą atitikties vertinimo organą (CAB — Conformity Assessment Body) pagal EN ISO/IEC 17065 standartą.

• Pateikti audito ataskaitą ANSSI, kurie sprendžia dėl sertifikuoto statuso suteikimo. Šis statusas peržiūrimas mažiausiai kas 24 mėnesiai (eIDAS 20 §1 straipsnis).

• Pranešti ANSSI apie bet kokius iš esmės reikšmingus paslaugų pokyčius per 3 mėnesių laikotarpį prieš planuojamą pakeitimą (eIDAS 21 straipsnis).

Šių žingsnių nesilaikymas teikėjui gresia pašalinimu iš TSL sąrašo ir praradimu teisinių prielaidų, susijusių su sertifikuotu parašu. Klientams naudotojams greitaslys nuo PSCo, kuris nėra TSL sąraše, reiškia jokios teisinės patikimumo prielaidos turėjimą.

> Norint sužinoti daugiau apie skirtingus parašų lygius ir jų teisinę reikšmę, žiūrėkite mūsų visą eIDAS 2.0 reglamento vadovą.

---

Techninės ir saugumo pareigos, taikomos PSCo

ETSI standartų laikymasis

Sertifikuoti teikėjai turi laikytis Europos telekomunikacijų standartų instituto (ETSI) publikuotų standartų. Pagrindiniai jų yra:

• ETSI EN 319 401: bendrieji saugumo reikalavimai, taikytini visiems PSCo.

• ETSI EN 319 411-1 ir 411-2: sertifikacinių institucijų, išduodančių sertifikuotus parašus, politika ir praktika.

• ETSI EN 319 132: išplėstų elektroninių parašų formatai (XAdES XML, PAdES PDF, CAdES CMS).

• ETSI EN 319 122: CAdES formatas sertifikuotiems parašams.

• ETSI TS 119 431: reikalavimai daliniu (nuotoliniam) parašo kūrimo paslaugoms (QSCD nuotoliniam).

Šie standartai nėra pasirenkamieji: eIDAS reglamentas (II, III ir IV priedai) tiesiogiai juos nurodo, kad apibrėžtų minimalius sertifikuotų sertifikatų reikalavimus ir parašo kūrimo įrenginius.

Saugių parašo kūrimo įrenginių (QSCD) valdymas

Vienas iš sertifikuoto parašo stulpų yra saugaus parašo kūrimo įrenginio (QSCD — Qualified Signature Creation Device) naudojimas, atitinkantis eIDAS II priedą. Teikėjas turi garantuoti, kad:

• Pasirašiusiojo privati raktas negali būti generuojamas, saugomas ar kopijuojamas už QSCD ribų.

• Rakto generavimas vyksta tik sertifikuotoje aplinkoje (Common Criteria EAL 4+ sertifikacija arba lygiavertis).

• Pasirašytojas yra autentifikuojamas bent dviem autentifikavimo faktoriais prieš bet kokį parašo veiksmą.

Nuotolinio parašo kontekste — kuris vis populiaresnis SaaS aplinkoje — šie reikalavimai taikomi serverio HSM (Hardware Security Module), kuriame saugomi raktai. ANSSI paskelbė specifines apsaugos profilius (PP-0075, PP-0076), apibrėžiančius saugumo kriterijus, kuriuos reikia pasiekti.

Tęstinumo politika ir incidentų pranešimo politika

eIDAS 19 straipsnis įpareigoja visus patikimumo paslaugų teikėjus (sertifikuotus arba ne):

• Pranešti priežiūros institucijai (ANSSI) ir, jei reikalinga, duomenų apsaugos institucijai (CNIL), per 24 valandas po saugumo pažeidimo, kuris gali turėti poveikį paslaugos patikimumui, aptikimo.

• Turėti dokumentuotą verslo tęstinumo planą ir jį reguliariai testuoti.

• Turėti formalizuotą informacijos saugumo politiką, apimančią ryšinio rizikos valdymą, incidentų valdymą ir atsarginės kopijos politiką.

Šie reikalavimai iš dalies sutampa su direktyvos NIS2 (2022/2555/ES) reikalavimais, panaudoti į Prancūzijos teisę įstatymu Nr. 2023-703 iš 2023 m. rugpjūčio 1 d., kuris svarbiausius PSCo priskiria svarbiosiomis arba esminėmis entitietėmis, kurioms taikomi sustiprintų kibernetinio saugumo reikalavimai.

> Sužinokite, kaip elektroninis parašas teisininkų kabinetams turi integruoti šiuos suvaržymus į jų dokumentų darbo srautus.

---

GDPR konkrečios pareigos, taikomos PSCo

PSCo, duomenų valdytojas ar duomenų tvarkytojas?

PSCo GDPR klasifikacija priklauso nuo suteikiamos paslaugos pobūdžio:

• Kai PSCo tiesiogiai išduoda sertifikuotus sertifikatus pasirašymo vardu ir nustato asmeninių duomenų tvarkymo tikslius (tapatybę, biometrinius autentifikavimo duomenis), jis veikia kaip duomenų valdytojas pagal GDPR 4(7) straipsnį.

• Kai jis integruoja savo API į B2B kliento platformą ir tvarko asmens duomenis tik pagal šio kliento instrukcijas, jis yra duomenų tvarkytojas (GDPR 4(8) straipsnis) ir turi privalidimas pasirašyti DPA (Data Processing Agreement), atitinkantį GDPR 28 straipsnį.

Praktiškai dauguma SaaS PSCo yra abi šios vaidmenis: duomenų valdytojai, atsakingi už savo sertifikavimo infrastruktūros valdymą, duomenų tvarkytojais dėl dokumentų ir signaturų metaduomenų tvarkymo.

Konkrečios pareigos, susijusios su biometriniais ir tapatybės duomenimis

Pasirašytojo identifikacija ir autentifikacija — privalomas žingsnis, norint išduoti sertifikuotą sertifikatą — dažnai apima jautrių duomenų tvarkymą: tapatybės dokumento nuskaitymas, vaizdo selfis, biometriniai veido atpažinimo duomenys. Šie duomenys yra asmeniniai duomenys, kuriems taikytas GDPR, ir gali būti biometriniai duomenys, kuriems taikytas GDPR 9 straipsnis (ypatingos kategorijos).

PSCo pareigos apima:

• Teisinė pagrindas: aiškus sutikimas (GDPR 9§2a) arba, kai kuriais atvejais, teisinė pareiga (GDPR 9§2b) biometrinių duomenų tvarkymui.

• Konservavimo trukmė yra suvaržyta: pagal CNIL gaires, identifikavimo duomenys turi būti saugoti tik tiek, kiek būtina, paprastai suderintas su sertifikato galiojimo trukme + teisinė įrodymo trukmė (dažnai 10 metų privatūs aktai, Civilinio kodekso 2224 straipsnis).

• Poveikio vertinimas (AIPD) yra privalomas (GDPR 35 straipsnis), kai tvarkymas gali sukelti aukštą riziką — kas sistemiškai yra biometrijoje.

• Tvarkymo registras (GDPR 30 straipsnis) nuolat atnaujinamas ir dokumentuojantis kiekvieną tvarkymo kategoriją.

Tarptautiniai duomenų persiuntavimai

Daugelis PSCo savo infrastruktūrą arba jos dalį talpina ne Europos ekonominės erdvės (EEE) ribose. Tokiu atveju reikalingos apsaugos yra reikalingos GDPR V skyriaus pagal: Komisijos sprendimas dėl adekvatumo, standartinės sąlygovės (SCCs) arba įmonės suvaržančios taisyklės (BCR). Schrems II sprendimas (CJEU, C-311/18, 2020 m. liepos 16 d.) primena, kad persiuntimas į JAV reikalinga išankstinę šalies rizikos analizę.

> Norėdami suprasti šių taisyklių poveikį jūsų organizacijai, žiūrėkite mūsų vadovą apie elektroninį parašą įmonėje.

---

Skaidrumo ir informacijos pareigos vartotojams

Sertifikavimo politika (PC) ir sertifikavimo praktikos pareiškimas (DPC)

Kiekvienas PSCo, išduodantis sertifikatus, yra privalomas publikuoti Sertifikavimo politiką (PC) ir Sertifikavimo praktikos pareiškimą (DPC), atitinkantį ETSI EN 319 411 standartą. Šie dokumentai, laisvai prieinami, aprašo:

• Pasirašytojų identifikavimo ir registravimo procedūras.

• Jų diegiamas fizines ir logines saugumo priemones.

• Sertifikatų atšaukimo sąlygas ir susijusias laiko ribas.

• PSCo atsakomybę ir garantijos apribojimus.

Šių dokumentų nebuvimas arba nepilnumumas sudaro neatitikties klaidą, kurią gali pažymėti auditas sertifikavimo perinimo metu, atliekamas akredituoto organo.

Priverstinė ir sutartinė kliento informacija

Be grynai techninių pareigų, GDPR 13 straipsnis įpareigoja PSCo pateikti kiekvienam žmogui, kurio duomenys renkami, aiškią ir pasiekiamą informaciją apie:

• Duomenų valdytojo ir DPO kontaktinę informaciją (privaloma PSCo, kurie iš esmės tvarko jautrūs duomenis, GDPR 37 straipsnis).

• Kiekvieno tvarkymo tikslus ir teisinę pagrindą.

• Asmenų teises (prieiga, pataisymas, ištrynimas, perkeliamumas, priešinimasis).

• Potencialius duomenų gavėjus (duomenų tvarkytojus, institucijas).

Ši informacija turi pasirodyti privatumo politikoje, naudojimosi sąlygose ir, jei reikalinga, DPA, pasirašytoje su profesionaliais klientais.

Sertifikuotas laiko žyma ir audito šaltinis

Norėdami garantuoti duomenų ilgos trukmės patikimą vertę, rimti PSCo sistematiškai susieja sertifikuotą elektroninę laiko žymą (eIDAS 42 straipsnis) su kiekvienu pasirašytu aktu. Ši laiko žyma yra teisinė prielaida duomenų buvimui nurodytu metu. Audito šaltinio (identifikavimo žurnalas, dokumento pieštas, parašo duomenys) saugojimas yra faktinė pareiga, skirta suteikti bet kokiam vėlesniam teisiniam tikrinimui.

> Palyginkite rinkos sprendimus pagal šiuos kriterijus mūsų elektroninio parašo sprendimų palyginime.

---

eIDAS 2.0: naujos pareigos iki 2026-2027 m.

Reglamentas eIDAS 2.0 (ES) 2024/1183

Paskelbtas ES Official Journal 2024 m. balandžio 30 d., reglamentas (ES) 2024/1183, vadinamas „eIDAS 2.0", iš esmės sustiprina PSCo pareigų apie tris ašis:

• Europos Skaitmeninio Tapatumo Krepšelis (EUDI Wallet): valstybės narės turi suteikti sertifikuotą skaitmeninės tapatybės krepšelį iki 2026 m. lapkričio 2 d. PSCo turės integruoti savo paslaugą su šiuo krepšeliu, kad siūlytų sertifikuotus parašus per eIDAS 2.0 tapatybę.

• Atributų liudijimų valdymas: eIDAS 2.0 įveda sertifikuotus atributų liudijimus (QEAAs), kuriuos išduoda sertifikuoti atributų paslaugų teikėjai. Naujos audito ir sertifikavimo procedūros bus taikomos.

• Priežiūros stiprinimas: nacionalinės priežiūros institucijos (ANSSI Prancūzijai) turi išplėstus įgalius, ypač sugebėjimą daryti nuovarginčius auditus ir taikyti priverstinas taisomąsias priemones sutrumpintomis terminais.

Praktinės reikšmės esamiems teikėjams

PSCo, jau sertifikuoti pagal eIDAS 1.0, turi atlikti laipsnišką atitikties diegimą prieš nurodytas terminų datas pagal Komisijos įgyvendinimo aktus (publikuotus arba būsimuose). Pagrindiniai adaptacijos aspektai apima:

• Identifikavimo infrastruktūros reformatavimą EUDI Wallet palaikymui kaip autentifikavimo metodui.

• PC/DPC atnaujinimą, integruojant naujas sertifikatų ir liudijimų tipologijas.

• QSCD nuotolinio saugumo reikalavimų stiprinimą su naujais apsaugos profiliais, kurie bus paskelti.

Klientų kompanijoms tai reiškia patikrinti šiandien, kad jų paslaugų teikėjas turi dokumentuotą eIDAS 2.0 atitikties kelyną, kurį galima patikrinti.

Teisinė prancūzų sistema, taikyta paslaugų teikėjo pareigu

Elektroninio parašo paslaugų teikėjams, veikiantiems Prancūzijoje, taikomas teisės sistema sulankstomi keliems hierarchiniams papildomų lygių.

Prancūzų Civilinis kodeksas — 1366 ir 1367 straipsniai

1366 straipsnis Civilinio kodekso gerinasi elektroninį raštą kaip įrodymų būdą, lygiavertį popieriniam raštui, jei „iš to gali būti nustatyta smulkiai identifikuota žmona, kurios iš to sklinda, ir jei jis yra sudarytas ir saugomas tokiomis sąlygomis, kurios gali garantuoti jo nepriekaištingumą". 1367 straipsnis patikslinimas, kad elektroniniam parašai „susideda iš patikimo identificavimo proceso naudojimo, kuris garantuoja jo ryšį su jį sudarančiu aktu". Sertifikuoti parašai pagal eIDAS naudojasi patikimumo prielaida, reversuojantis įrodymo naštą pasirašančiojo naudai.

Reglamentas eIDAS Nr. 910/2014/ES

Šis reglamentas, tiesiogiai taikomas visose valstybėse narėse, nustato teisinį patikimumo paslaugų pasitikėjimą. Jo 26 straipsnis nustato išplėstinto elektroninio parašo sąlygas; 28 straipsnis sertifikuotų sertifikatų reikalavimą; I priedėlis detalizuoja šių sertifikatų privalomą turinį. Sertifikuoti PSCo naudojasi prielaida su atitiktimi techniniams ir teisiniams reglamento reikalavimams (19§2 straipsnis), kurie suteikia itin svarbų pranašumą bet kuriame ginče.

Reglamentas eIDAS 2.0 — (ES) 2024/1183

Paskelbtas 2024 m. balandžio 30 d., šis reglamentas, kuris keičia, įveda naujas patikimumo paslaugų kategorijas (sertifikuotas atributų liudijimus, sertifikuotus archyvavimo paslaugus) ir sustiprina priežiūros pareigų. Jis panaudoti ir iš dalies pakeičia 910/2014 reglamentą su palaipsniu taikymoje pagal Komisijos įgyvendinimo aktus.

GDPR — Reglamentas (ES) 2016/679

GDPR taikomas visam asmeninių duomenų tvarkymui, atliekamam elektroninio parašo paslaugos aprašymo. 5 straipsniai (teisumo principai), 6 (teisinė pagrindas), 9 (jautrūs duomenys), 13-14 (informacija), 28 (duomenų tvarkytojams), 32 (saugumas), 33-34 (saugumo pažeidimo pranešimas), 35 (AIPD) ir 37 (DPO) yra pačios dažniausiai taikomos nuostatos. CNIL yra kompetentinga priežiūros institucija Prancūzijoje ir gali skirti baudas iki 20 milijonų eurų arba 4 % pasaulinių metinių įplaukų (GDPR 83§5 straipsnis).

Direktyva NIS2 — (ES) 2022/2555

Panaudota į Prancūzijos teisę įstatymu Nr. 2023-703 iš 2023 m. rugpjūčio 1 d., NIS2 klasifikuoja iš esmės svarbias PSCo tarp svarbiausiųjų ar esminių entitetų, kuriems taikomi kibernetinio rizikos valdymo ir incidentų pranešamo ANSSI pagal 24 valandas (ankstyvasis perspėjimas) ir tada 72 valandas (pilnas pranešimas) reikalavimai.

ETSI standartai

Visų EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ir TS 119 431 standartai sudaro privalomąją techninę nuorodą sertifikavimo auditui. Jų nesilaikymas daro neįmanomą gauti arba iš būti sertifikuotą statusą.

Teisinės rizikos nesilaikant reglamentacijos

Nesuderinus teikėjas rizikuoja: pašalinimu iš TSL Prancūzijos sąrašo, sutartinės ir nesutartinės atsakomybės taikymu, CNIL administraciniais baudžiavimais, NIS2 baudimais, siekiančiais 10 milijonų eurų arba 2 % pasaulinių metinių įplaukų esminėms entitetėms ir 20 milijonų eurų arba 4 % CA svarbioms, taip pat kliento teisminiais ieškiniais, kurie patyrė žalą dėl neveiksmingų parašų.

Panaudos atvejai: kaip bendrovės patikrina savo PSCo atitiktį

1 atvejis — Didelė pramonės grupė, valdanti 3 000 tiekėjo sutarčių per metus

Vidutinės dydžio pramonės grupė (ETI), veikianti mechaninių įrangos gamyboje, iš esmės pavertina visas savo tiekėjo sutartis per elektroninio parašo SaaS platformą. Atliekant vidinį auditą, susumuotą po reglamentinio pakitimo, teisinė direktorija nustato, kad pasirinktas paslaugų teikėjas — iš pradžių parinktas pagal kainą — nėra nurodytas nei Prancūzijos TSL, nei jokioje Europos TSL. Išduoti parašai yra „paprastos" tipo be didelio pasirašytojo identifikavimo mechanizmo.

Susidūrus su teisine rizika — laipsniškai visų sutarčių parašų juridinis pagrindas gali būti ginčijamas bet kuriame ginče — bendrovė pradeda perkėlimą į sertifikuotą ANSSI PSCo. Naujas sprendimas apima išplėstinį parašą su sertifikuotu sertifikatu, sertifikuota laiko žyma ir eksportuojamu audito šaltiniu. Migraciją, atliktą per mažiau nei 8 savaites, galima retrospektyviai sugrupuoti naujus aktus ir nustatyti atitinkančią dokumentų politiką. Teisinės grupės įvertina, kad senų sutarčių rizika dėl jų vykdymo be ginčo yra nedidelė, bet kiekvienas naujas parašas yra dabar apsaugotas.

Stebėtos naudos: 60 % sumažėjimas potencialaus ginčo dėl parašo autentiškumo ir vidutinio 3,5 dienų parašo laiko sumažėjimas sudėtingose sutartyse dėl valdymo automatizavimo.

2 atvejis — 25 bendradarbių advokatūra, kurie specializuojasi verslo teisėje

Advokatūra, siekianti digi savo šablonus, konsultacijas ir teisminius aktus, įvertina kelis paslaugų teikėjus. Jo grilio analizė apima tokius kriterijus: buvimą TSL, prieinamą PC/DPC publikavimą, GDPR atitinkančio DPA egzistavimą, pasiekiamą DPO ir QSCD nuotolinio sertifikavimą.

Iš penkių įvertintų teikėjų tik du tenkina visus kriterijus. Advokatūra galiausiai pasirenka PSCo, natūraliai siūlantį sertifikuotą parašą per QSCD nuotolinį, garantuojantį Prancūzų Civilinio kodekso 1367 straipsnio patikimumo prielaidą. Nustatymas trunka 3 savaites, mokyma įskaičiuota. Rezultatas: 75 % šablonus dabar pasirašo per mažiau nei 24 valandas, palyginti su 5–7 dienomis anksčiau (pašto siuntimas), o advokatūra gali patikrinti savo klientams saugumo lygio, siūlomą sprendimo — skirtingą argumentą savo komerciniuose pasiūlymuose.

3 atvejis — Ligoninės grupė, kurioje yra maždaug 1 200 lovų

Ligoninės viešoji grupė pageidauja iš esmės pavertinti darbo sutartis, stažo konvencijas ir partnerystės susitarimus su partnerinėmis sveikatos priežiūros įstaigomis. Tvarkytų duomenų jautrumas (sveikatos sveikatos darbuotojų duomenys, HR duomenys) reikalauja ypatingai sumanios priežiūros dėl PSCo GDPR pareigu.

IT direktorija ir įstaigos DPO reikalauja: duomenų diegimas Prancūzijoje sveikatos duomenų šeimininkame (HDS — sveikatos duomenų šeimininkame, sertifikacija pagal Sveikatos viešosios kodekso 1111-8 straipsnį), be EEE persiuntimo, dokumentuotos AIPD pasirašytojo identifikavimui tvarkant ir DPA pasirašant prieš bet kokią gamybos pradžią.

Pasirinkus PSCo, atitinkantį šiuos kriterijus, diegimas pirmiausia apima HR sutartis (apie 800 aktų per metus). Sutarčių tam tikram laikotarpiui vidutinis parašo laikas sumažėja iš 9 dienų į mažiau nei 48 valandas, atleidžiant reikšmingą pajėgumą HR komandai. Įstaiga turėtumėte visą sutikimų sekimą, audituotą kasmet iš savo DPO.

Išvada

Elektron parašo teikėjams Prancūzijoje tenka pareiga normatyvinė sistema: eIDAS sertifikavimas, GDPR atitiktis, ETSI standartų laikymasis, NIS2 pareigos ir artimas prisitaikymas prie eIDAS 2.0. Naudotojų bendrovėms užtik