Pienācības prestatāja elektroniskajai parakstīšanai Francija

Ievads

Elektroniskās parakstīšanas risinājuma ieviešana Francijā nav improvizēšana. Aiz katras kvalificētas vai progresīvas parakstīšanas slēpjas desmitiem likumīgu pienācību, kas var iestāties uz uzticamības pakalpojumu sniedzēja (PSCo) pleciem. eIDAS regula, GDPR, vispārīgais drošības jautājums, ETSI standarti... normatīvais rāmis ir gan biezs, gan jau mainīgs. Uzņēmumiem, kas izmanto parakstīšanu, šo elektroniskās parakstīšanas prestatāja likumīgo pienācību Francijā eIDAS GDPR izpratne ir neatņemama, lai izvēlētos atbilstošu partneri un novērstu jebkurus juridiskos riskus. Šis raksts sīki apraksta visas prasības, kas piemērojamas PSCo, kas darbojas Francijas teritorijā.

---

Kvalificēta uzticamības pakalpojumu sniedzēja statuss

Kas ir PSCo eIDAS nozīmē?

Regula eIDAS Nr. 910/2014 nosaka divas prestatāju kategorijas: nekvalificēti uzticamības pakalpojumu sniedzēji un kvalificēti pakalpojumu sniedzēji (PSCQ). Pirmie var piedāvāt vienkāršas vai progresīvas elektroniskās parakstīšanas pakalpojumus bez obligātā trešās puses audita. Otrie — vienīgie pilnvarojumi parakstīt eIDAS 3(15) pantā minētās kvalificētas parakstīšanas — ir jāatbilst krasi augstākām prasībām.

Francijā Nacionālā informācijas sistēmu drošības aģentūra (ANSSI) pilda ar eIDAS 17. pantu noteikto uzraudzības iestādes lomu ("Supervisory Body"). Tā publicē un uztur Francijas uzticamības sarakstu (TSL — Trust Service List), kas ir pieejams tās oficiālajā tīmekļa vietnē un kuš norāda uz kvalificētiem prestatājiem un viņu pakalpojumiem.

Kvalifikācijas procedūra: audits un atbilstība

Lai iegūtu kvalificēto statusu, PSCo obligāti ir:

• Likt auditoriem novērtēt savus pakalpojumus atbilstības novērtēšanas struktūras (CAB — Conformity Assessment Body) pēc COFRAC akreditācijas saskaņā ar EN ISO/IEC 17065 standartu.

• Iesniegtu audita ziņojumu ANSSI, kas pieņem lēmumu par kvalificēto statusu piešķiršanu. Šo statusu pārvērtē vismaz reizi ik 24 mēnešus (eIDAS 20. panta 1. punkts).

• Paziņot ANSSI par jebkādām pamatīgām izmaiņām savos pakalpojumos 3 mēnešu laikā pirms plānotās izmaiņas (eIDAS 21. pants).

Šo soļu neievērošana pakalpojumu sniedzējam nozīmē izslēgšanu no TSL un uzticamības parakstīšanas juridisko pieņēmumu zaudēšanu. Klientu uzņēmumiem paļaušanās uz prestatāju, kas nav norādīts TSL, nozīmē pavisam nekādu paļaušanos uz likumīgu drošību.

> Lai uzzinātu vairāk par dažādiem parakstīšanas līmeņiem un to juridiskiem efektiem, skatiet mūsu pilnīgu eIDAS 2.0 regulas ceļvedi.

---

Tehniskas un drošības pienācības, kas piemērojamas PSCo

ETSI standartu atbilstība

Kvalificētiem prestatājiem jāievēro Eiropas Telekomunikāciju standartu institūta (ETSI) publicēto Eiropas standartu kopums. Galvenie ir:

• ETSI EN 319 401: vispārējie drošības prasījumi, kas piemērojami visiem PSCo.

• ETSI EN 319 411-1 un 411-2: sertifikācijas iestāžu politika un prakses, kas parakstīšanas sertifikātu izsniedz.

• ETSI EN 319 132: progresīvas elektroniskās parakstīšanas formāti (XAdES XML, PAdES PDF, CAdES CMS).

• ETSI EN 319 122: CAdES formāts kvalificētiem parakstiem.

• ETSI TS 119 431: prasības attālo parakstīšanas pakalpojumiem (tālā QSCD).

Šie standarti nav fakultatīvi: eIDAS regula (II, III un IV pielikums) uz tiem skaidri norāda, lai definētu kvalificēto sertifikātu un parakstīšanas dispositīvu minimālās prasības.

Drošu parakstīšanas dispositīvu pārvaldība (QSCD)

Viens no kvalificētās parakstīšanas pīlāriem ir drošs parakstīšanas dispositīvs (QSCD — Qualified Signature Creation Device), kas atbilst eIDAS II pielikumam. Prestatājam jāgarantē, ka:

• Parakstītāja privātā atslēga nevar tikt ģenerēta, glabāta vai kopēta ārpus QSCD.

• Atslēgas ģenerēšana notiek tikai sertificētā vidē (Common Criteria EAL 4+ sertifikācija vai līdzvērtīga).

• Parakstītāja autentifikācija pirms parakstīšanas aktiem balstās uz vismaz diviem autentifikācijas faktoriem.

Attālo parakstīšanas kontekstā — arvien populārāks SaaS vidē — šie prasījumi piemērojami servera HSM (Hardware Security Module), kurš glabā atslēgas. ANSSI ir publicējusi specifiskus drošības profilus (PP-0075, PP-0076), kas nosaka drošības kritērijus.

Nepārtrauktības un incidentu paziņošanas politika

eIDAS 19. pants nosaka jebkuram uzticamības pakalpojumu sniedzējam (kvalificētam vai nē):

• Paziņot uzraudzības iestādi (ANSSI) un, ja nepieciešams, datu aizsardzības iestādi (CNIL), 24 stundu laikā pēc drošības pārkāpuma konstatēšanas, kas var ietekmēt pakalpojuma drošumu.

• Uzturēt dokumentētu biznesa nepārtrauktības plānu, kurš tiek regulāri pārbaudīts.

• Būt spējīgam uz informācijas drošības politiku, kas aptver riska vadību, incidentu vadību un backup politiku.

Šie prasījumi daļēji pārklājas ar NIS2 direktīvas (2022/2555/UE) prasībām, kas pārnesta Francijas tiesību sistēmā ar likumu Nr. 2023-703 (2023. gada 1. augusts), kas klasificē nozīmīgos PSCo kā svarīgas vai būtiskas organizācijas, kurām jāievēro pastiprinātas kyber drošības pienācības.

> Uzziniet, kā elektroniskā parakstīšana juridisko kabinetu nolūkos ir jāintegrē šajos dokumentāro workflow.

---

GDPR specifiskas pienācības PSCo

PSCo GDPR perspektīvā: dati un atbildības

PSCo kvalifikācija saskaņā ar GDPR ir atkarīga no sniegto pakalpojumu rakstura:

• Kad PSCo tieši izsniedz kvalificētus sertifikātus signatāra vārdā un nosaka datu personīgo datu personiskas informācijas apstrādes nolūkus (identitāte, autentifikācijas biometrijas dati), tas darbojas kā atbildīgais par apstrādi GDPR 4. panta 7. punkta nozīmē.

• Kad tas integrē savu API klientūras B2B platformā un apstrādā personas datus tikai šī klienta norādījumā, tas ir apstrādes līdzdalībnieks (GDPR 4. pants 8. punkts) un obligāti jānoslēdz DPA (Data Processing Agreement) saskaņā ar GDPR 28. pantu.

Praksē lielākā daļa PSCo SaaS ir abas lomas: atbildīgais par savu sertifikācijas infrastruktūras vadību, apstrādes līdzdalībnieks signatāru dokumentu un metadatu apstrādei.

Specifiskas pienācības biometrijas un identifikācijas datiem

Parakstītāja identifikācija un autentifikācija — obligāts solis, lai izsniegtu kvalificētu sertifikātu — bieži ietver jutīgu datu apstrādi: ID skenējums, selfija video, biometrijas sejas atpazīšanas dati. Šie dati ir personas dati GDPR nozīmē, iespējams arī biometrijas dati GDPR 9. panta nozīmē (sevišķas kategorijas).

PSCo pienācības ietver:

• Likumisks pamats: skaidrs piekrišana (9. panta 2. punkts a) vai atsevišķos gadījumos likumisks pienākums (9. panta 2. punkts b) biometrijas datu apstrādei.

• Saglabāšanas termiņš ir ierobežots: saskaņā ar CNIL vadlīnijām identifikācijas dati jāglabā tik ilgi, cik nepieciešams, parasti izlīdzinot ar sertifikāta derīguma termiņu + likumīgu pierādījumu saglabāšanas termiņu (bieži 10 gadi privātiem aktiem, Civilo kodeksu 2224. pants).

• Ietekmes novērtējums (AIPD) (GDPR 35. pants) ir obligāts, ja apstrāde var radīt augstu risku — kas sistēmiski ir biometrijas gadījumā.

• Apstrādes reģistrs (GDPR 30. pants) ir jāuztur un dokumentē katru apstrādes kategoriju.

Starptautiski datu pārsūtījumi

Daudzi PSCo glabā daļu savu infrastruktūru ārpus Eiropas Ekonomiskās zonas (EEZ). Šajā gadījumā atbilstošas garantijas GDPR V nodaļa ir obligātas: pieņemamības lēmums, Eiropas Komisijas standarta līguma klauzulas (SCCs) vai uzņēmuma iekšējie apvinošie noteikumi (BCR). Tiesa Schrems II nosprieda (EICD, C-311/18, 2020. gada 16. jūlijs), ka pārsūtījumi uz Amerikas Savienotajām Valstīm prasa iepriekšēju valsts riska analīzi.

> Lai saprastu šo noteikumu ietekmi uz jūsu organizāciju, skatiet mūsu elektroniskās parakstīšanas ceļvedi uzņēmumos.

---

Pārredzamības un informācijas pienācības pret lietotājiem

Sertifikācijas politika (PC) un sertifikācijas prakses deklarācija (DPC)

Jebkurš PSCo, kas izsniedz sertifikātus, ir pienākums publicēt Sertifikācijas politiku (PC) un Sertifikācijas prakses deklarāciju (DPC) saskaņā ar ETSI EN 319 411 standartu. Šie dokumenti, brīvi pieejami, detalizē:

• Signatāru identifikācijas un reģistrācijas procedūras.

• Īstenotie fiziskajos un loģiskajos drošības pasākumi.

• Sertifikātu atsaukšanas noteikumi un saistītie termiņi.

• PSCo atbildības un garantiju ierobežojumi.

Šo dokumentu neesamība vai nepilnīgums ir neatbilstības gadījums, kas var tikt konstatēts audita laikā pēc rekvālifikācijas.

Informācija pirms līguma noslēgšanas un līguma pieņemšana

Bez tīri tehniskām pienācībām GDPR 13. pants nosaka PSCo pienākumu sniegt skaidru un pieejamu informāciju jebkurai personai, kuras dati tiek apkopoti:

• Atbildīgā puses un DPO kontaktinformācija (obligāti PSCo, kas lielā mērogā apstrādā jutīgos datus, GDPR 37. pants).

• Katra apstrādes nolūki un likumīgais pamats.

• Personu tiesības (piekļuve, labojums, dzēšana, pārnesi, iebilstība).

• Iespējamie datu saņēmēji (apstrādes līdzdalībnieki, iestādes).

Šī informācija jāiekļauj pakalpojuma privātuma politikā, vispārīgos lietošanas nosacījumos un, ja nepieciešams, DPA, kas noslēgts ar profesionālajiem klientiem.

Kvalificēts laika zīmogs un audita pēdas

Lai garantētu parakstīšanas juridisko vērtību ilgtermiņā, nopietnie PSCo sistēmiski apvieno kvalificētu elektronisko laika zīmogu (eIDAS 42. pants) ar katru parakstītu aktu. Šis laika zīmogs ir likumīgais pierādījums datu eksistences norādītajā datumā. Audita pēdas (identifikācijas žurnāli, dokumentu nospiedumi, parakstīšanas dati) saglabāšana ir praktiska pienākums jebkurai turpmākai tiesu pārbaudei.

> Salīdziniet tirgus risinājumus pēc šiem kritērijiem mūsu elektroniskās parakstīšanas risinājumu salīdzinājumā.

---

eIDAS 2.0: jaunās pienācības uz 2026.–2027. gadiem

Regula eIDAS 2.0 (ES) 2024/1183

Publicēta ES Oficiālajā Vēstneša 2024. gada 30. aprīlī, regula (ES) 2024/1183 "eIDAS 2.0" krasi pastiprina PSCo pienācības trīs asu virzienā:

• Eiropas digitālās identitātes maks (EUDI Wallet): valstis dalībnieces no 2026. gada 2. novembra jānodrošina sertificēti cipāro identitātes maks. PSCo būs jāintegrē savs pakalpojums ar šo maku, lai piedāvātu kvalificētus parakstus caur eIDAS 2.0 identitāti.

• Atribūtu sertifikātu pārvaldība: eIDAS 2.0 ieviedo kvalificētus atribūtu sertifikātus (QEAAs), ko izsniedz kvalificēti atribūtu sertifikātu sniedzēji. Jaunas audita un kvalifikācijas procedūras tiks piemērotas.

• Uzraudzības pastiprināšana: valstu uzraudzības iestādes (ANSSI Francijai) var veikt neparedzētus auditus un noteikt spiestus koriģējošus pasākumus saīsinātajos termiņos.

Praktiskas sekas esošajiem prestatājiem

PSCo jau kvalificēti saskaņā ar eIDAS 1.0 ir jāveic pakāpeniska atbilstības saskaņošana pirms noteiktajiem termiņiem Eiropas Komisijas izpildraktos. Galvenās pārmaiņas attiecas uz:

• Identifikācijas infrastruktūras pārveidošana EUDI Wallet atbalstīšanai kā autentifikācijas līdzeklis.

• PC/DPC atjaunošana jaunajām sertifikātu un sertifikātu kategorijām.

• Tālā QSCD drošības prasību paaugstināšana ar jaunajiem drošības profiliem.

Klientu uzņēmumiem tas nozīmē pārbaudīt jau šodien, vai viņu prestatājam ir dokumentēta eIDAS 2.0 atbilstības karte un pārbaudāma.

Tiesisks rāmis prestatāja elektroniskās parakstīšanas pienācībām

Likumīgais rāmis, kas attiecas uz elektroniskās parakstīšanas prestatājiem Francijā, balstās uz vairākiem hierarhiskiem papildinošiem līmeņiem.

Francijas Civilo kodeksu — 1366. un 1367. panta

Civilo kodeksa 1366. pants atzīst elektronisko rakstne pieņemamu pierādījuma veidu kā papīra rakstnes, ar nosacījumu, ka "var tikt pareizi identificēta persona, no kuras tā nāk, un tā ir izgatavota un saglabāta tā, lai garantētu integritāti". 1367. pants norāda, ka elektroniskā parakstīšana "sastāv no pierādījuma metodei, kas garantē tās saistību ar aktu". Drošuma pieņēmums ir piemērojams eIDAS kvalificētajiem parakstiem, pārvēršot pierādījumu nastu parakstītāja labā.

Regula eIDAS Nr. 910/2014/ES

Šī regula ir tieši piemērojama visos dalībvalstīs un izveido uzticamības pakalpojumu juridisko rāmi. Tās 26. pants nosaka progresīvas elektroniskās parakstīšanas nosacījumus; 28. pants — kvalificēto sertifikātu prasības; I pielikums detalizē obligāto saturu. Kvalificēti PSCo iegūst atbilstības pieņēmumu regulas tehniskajām un juridiskajām prasībām (19. panta 2. punkts), kas ir liels pluss strīdos.

Regula eIDAS 2.0 — (ES) 2024/1183

Publicēta 2024. gada 30. aprīlī, šī regulacija ieviedo jaunas uzticamības pakalpojumu kategorijas (kvalificētus atribūtu sertifikātus, kvalificētus arhīvēšanas pakalpojumus) un pastiprina uzraudzības pienācības. Tā abroga un daļēji pārveidē 910/2014 regulaciju.

GDPR — Regula (ES) 2016/679

GDPR piemērojams jebkuram personas datu apstrādes gadījumam elektroniskās parakstīšanas pakalpojuma kontekstā. 5. pants (apstrādes principi), 6. pants (likumisks pamats), 9. pants (jutīgi dati), 13.–14. pants (informācija), 28. pants (apstrādes līdzdalībnieks), 32. pants (drošība), 33.–34. pants (drošības pārkāpuma paziņošana), 35. pants (ietekmes novērtējums) un 37. pants (DPO) ir visvairāk piemērojamie pantu. CNIL ir kompetentā uzraudzības iestāde Francijā un var noteikt naudas sodus līdz 20 miljoniem eiro vai 4 % no gada tīrā apgrozījuma pasaulē (GDPR 83. panta 5. punkts).

Direktīva NIS2 — (ES) 2022/2555

Pārnesta Francijas tiesību sistēmā ar likumu Nr. 2023-703 (2023. gada 1. augusts), NIS2 klasificē nozīmīgos PSCo kā būtiskas organizācijas, kas ievēro pastiprinātas kyber drošības un incidentu paziņošanas ANSSI normas 24 stundās (agrīna brīdinājuma) un 72 stundās (pilna paziņošana).

ETSI standarti

Standartu komplekts EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 un TS 119 431 ir obligātā tehniskā atsauce audita nolūkos. Neievērošana nozīmē nespēju iegūt vai paturēt kvalificēto statusu.

Juridiskie riski neatbilstības gadījumā

Neatbilstošs prestatājs ir pakļauts: TSL izslēgšanai, līgumiskai un ekstracontractuālai atbildībai, CNIL administratīvajiem soda pasākumiem, NIS2 naudas sodam līdz 10 miljoniem eiro vai 2 % no gada CA pasaulē nozīmīgās un 20 miljonu vai 4 % būtiskai, kā arī klientu tiesvedībai, kas cietuši zaudējumus nevalidālās parakstīšanas dēļ.

Lietošanas scenāriji: kā uzņēmumi pārbaudā PSCo atbilstību

1. scenārijs — Rūpniecības grupa, kas pārvaldē 3 000 piegādātāju līgumus gadā

Vidējā lieluma rūpniecības grupa (ETI), kas darbojas mehānismu ražošanā, demateriāla visus piegādātāju līgumus caur SaaS elektroniskās parakstīšanas platformu. Pēc normatīvo audita, kuris izpildīts pēc regulācijas izmaiņām, tiesību virziens konstatē, ka izvēlētais prestatājs — sākotnēji izvēlēts pēc cenas — neatrodas ne Francijas TSL, ne jebkurā citā Eiropas TSL. Parakstīšana ir vienkārši tipi bez parakstītāja identificēšanas mehānisma.

Saskaņā ar juridisko risku — visi noslēgtie līgumi varētu tikt apšaubīti strīdos — uzņēmums uzsāk migrāciju uz ANSSI kvalificētu PSCo. Jaunais risinājums ietver progresīvus parakstus ar kvalificētu sertifikātu, kvalificētu laika zīmogu un eksportējamu audita pēdi. Migrācijas process tiek realizēts mazāk nekā 8 nedēļās, ļaujot retrospektīvi nodrošināt jaunos aktus un izstrādāt atbilstošu dokumentāro politiku. Tiesību komandas uzskata, ka risks tiesvedībā par vecajiem aktiem ir ierobežots, bet jebkura jauna parakstīšana ir tagad aizsargāta.

Novēroti ieguvumi: 60 % samazinājums iespējamos parakstīšanas autentiskuma strīdos un 3,5 dienas vidējā termiņa samazinājums kompleksos līgumos automātijas dēļ.

2. scenārijs — Juridiskais kabinets 25 speciālistiem komercijālajā likumā

Juridiskais kabinets vēlas demateriāla mandātu, konsultāciju un tiesvedības aktu parakstīšanu un novērtē vairākus prestatājus. Analīzes tabula ietver šos kritērijus: klātbūtne TSL, pieejamas PC/DPC publikācija, GDPR-atbilstīgs DPA, pieejams DPO un tālo QSCD sertifikācija.

No pieciem novērtētajiem prestatājiem tikai divi atbilst visiem kritērijiem. Kabinets galu galā izvēlas PSCo, kas piedāvā nātīvi kvalificētu parakstīšanu caur tālo QSCD, garantējot Civilo kodeksa 1367. panta parakstīšanas drošuma pieņēmumu. Ieviešana notiek 3 nedēļās ar apmācību. Rezultāts: 75 % no mandātiem tiek parakstīti mazāk nekā 24 stundās pret 5–7 dienām iepriekš (pasta sūtījums), un kabinets var pamatot drošuma līmeni klientiem — diferencējošs arguments.

3. scenārijs — Slimnīcu grupa ar apmēram 1 200 gultņiem

Slimnīcu grupa vēlas demateriālu darbinieku līgumus, prakses konvencijas un partnerattiecību nolīgumus. Apstrādāto datu jūtīgums (veselības dati, personāla RH dati) prasa īpašu uzmanību GDPR pienācībām.

DSI un DPO pieprasa: datu glabāšana Francijā pie HDS sertificēta glabātāja (Sertificēts datu glabātājs, ko paredz Veselības kods), bez datu pārsūtījuma ārpus EEZ, dokumentēts AIPD parakstītāju identifikācijas apstrādei un DPA parakstīts pirms ieviešanas.

Pēc PSCo atlases, kas atbilst šiem kritērijiem, ieviešana pirmā prioritāte ir RH līgumiem (apmēram 800 akti gadā). Vidējais parakstīšanas termiņš determinēto terminu līgumiem samazinās no 9 dienām līdz mazāk nekā 48 stundām, atbrīvojot ievērojamus cilvēkresursus. Iestāde ir spējīga izsekot pilnīgi piekrītošo informāciju, kuru gada pārbaudē veic DPO.

Secinājums

Likumīgās pienācības, kas gulstas uz elektroniskās parakstīšanas prestatājiem Francijā, izveido prasīgu normu kopumu: eIDAS kvalifikācija, GDPR atbilstība, ETSI standartu ievērošana, NIS2 pienācības un grūta eIDAS 2.0 saskaņošana. Klientu uzņēmumiem PSCo atbilstības pārbaudīšana nav fakultatīva — tas ir neatņemama nosacījums parakstīto aktu juridiskajai vērtībai un parakstītāju personas datu aizsardzībai.

Certyneo ir elektroniskās parakstīšanas pakalpojums, kas izstrādāts, lai atbilstu visām šīm prasībām: eIDAS atbilstība, GDPR pēc dizaina, suvereņa glabāšana un dokumentēta eIDAS 2.0 karte. Gatavs nodrošināt parakstīšanu atbilstības nolūkā? Pieprasi demonstrāciju vai izveido savu kontu Certyneo un beneficējies personiskā atbalsta no pirmajām dienām.