Verplichtingen elektronische handtekening-dienstverlener Frankrijk

Inleiding

Het implementeren van een oplossing voor elektronische handtekeningen in Frankrijk is niet zomaar uit de losse pols te doen. Achter elke gekwalificeerde of geavanceerde handtekening schuilen tientallen wettelijke verplichtingen die rusten op de dienstverlener voor vertrouwendiensten (PSCo). eIDAS-verordening, RGPD, algemeen beveiligingskader, ETSI-normen… het regelgevingskader is tegelijk omvangrijk en voortdurend in ontwikkeling. Voor ondernemingen die deze diensten gebruiken, is het begrijpen van deze wettelijke verplichtingen elektronische handtekening-dienstverlener Frankrijk eIDAS RGPD onmisbaar om een conforme partner te kiezen en juridisch risico te vermijden. Dit artikel detailleert, sectie voor sectie, alle vereisten die van toepassing zijn op PSCo's die in Frankrijk werkzaam zijn.

---

De status van gekwalificeerde vertrouwendienstenleverancier

Wat is een PSCo volgens eIDAS?

De verordening eIDAS nr. 910/2014 onderscheidt twee categorieën dienstverleners: niet-gekwalificeerde dienstverleners van vertrouwendiensten en gekwalificeerde dienstverleners (PSCQ). De eersten kunnen diensten voor simple of geavanceerde elektronische handtekeningen aanbieden zonder verplichte audit door derden. De laatsten — de enigen die gekwalificeerde handtekeningen mogen afgeven in de zin van artikel 3(15) van eIDAS — moeten aan aanzienlijk strengere vereisten voldoen.

In Frankrijk is het de Agence nationale de la sécurité des systèmes d'information (ANSSI) die de rol van toezichthoudende autoriteit (« Supervisory Body ») vervult, voorzien in artikel 17 van eIDAS. Zij publiceert en onderhoudt de Franse vertrouwenslijst (TSL — Trust Service List), toegankelijk op haar officiële website, waarin gekwalificeerde dienstverleners en hun diensten zijn opgenomen.

De kwalificatieprocedure: audit en conformiteit

Om de gekwalificeerde status te verkrijgen, moet een PSCo verplicht:

• Haar diensten laten auditen door een accreditatieorgaan voor conformiteitsbeoordeling (CAB — Conformity Assessment Body), erkend door COFRAC volgens norm EN ISO/IEC 17065.

• Het auditrapport bij de ANSSI indienen, die beslist over het toekennen van gekwalificeerde status. Deze status wordt minstens om de 24 maanden opnieuw geëvalueerd (artikel 20 §1 eIDAS).

• De ANSSI op de hoogte stellen van elke substantiële wijziging in haar diensten binnen 3 maanden vóór de voorgenomen wijziging (artikel 21 eIDAS).

Het niet naleven van deze stappen exponeert de dienstverlener aan verwijdering uit de TSL en verlies van de juridische vermoedens die aan gekwalificeerde handtekeningen zijn verbonden. Voor klantondernemingen betekent het gebruik van een PSCo die niet op de TSL staat vermeld dat zij geen enkel juridisch vermoeden van betrouwbaarheid genieten.

> Voor meer informatie over de verschillende niveaus van handtekeningen en hun juridische gevolgen, raadpleeg onze complete gids over eIDAS 2.0-verordening.

---

Technische verplichtingen en beveiligingseisen voor PSCo's

Naleving van ETSI-normen

Gekwalificeerde dienstverleners moeten zich houden aan een reeks Europese normen gepubliceerd door het European Telecommunications Standards Institute (ETSI). De voornaamste zijn:

• ETSI EN 319 401: algemene beveiligingsvereisten van toepassing op alle PSCo's.

• ETSI EN 319 411-1 en 411-2: beleidslijnen en praktijken van certificeringsautoriteiten die certificaten voor gekwalificeerde handtekeningen afgeven.

• ETSI EN 319 132: indelingen voor geavanceerde elektronische handtekeningen (XAdES voor XML, PAdES voor PDF, CAdES voor CMS).

• ETSI EN 319 122: CAdES-indeling voor gekwalificeerde handtekeningen.

• ETSI TS 119 431: vereisten voor diensten voor het op afstand aanmaken van handtekeningen (QSCD op afstand).

Deze normen zijn niet optioneel: de eIDAS-verordening (Bijlage II, III en IV) verwijst er expliciet naar om de minimumvereisten voor gekwalificeerde certificaten en handtekeningcreatiemiddelen te bepalen.

Beheer van gekwalificeerde handtekeningen-aanmaakobjecten (QSCD)

Een van de pijlers van gekwalificeerde handtekeningen is het gebruik van een gekwalificeerd handtekeningen-aanmaakobject (QSCD — Qualified Signature Creation Device) in overeenstemming met Bijlage II van eIDAS. De dienstverlener moet garanderen dat:

• De persoonlijke sleutel van de ondertekenaar alleen in de QSCD kan worden gegenereerd, opgeslagen of gekopieerd.

• De sleutelgenerering uitsluitend in een gecertificeerde omgeving plaatsvindt (Common Criteria EAL 4+ certificering of gelijkwaardig).

• De authenticatie van de ondertekenaar voorafgaand aan elke handtekenactie op ten minste twee verificatiefactoren is gebaseerd.

In een context van ondertekening op afstand — steeds vaker voorkomend in SaaS-omgevingen — gelden deze vereisten voor de HSM-server (Hardware Security Module) waar sleutels worden gehost. De ANSSI heeft specifieke beveiligingsprofielen gepubliceerd (PP-0075, PP-0076) die de na te streven beveiligingscriteria definiëren.

Beleid voor bedrijfscontinuïteit en incidentmelding

Artikel 19 van eIDAS verplicht alle dienstverleners van vertrouwendiensten (gekwalificeerd of niet) om:

• De toezichthoudende autoriteit (ANSSI) en, indien van toepassing, de autoriteit voor gegevensbescherming (CNIL) binnen 24 uur na ontdekking van een beveiligingsinbreuk die mogelijk gevolgen heeft voor de betrouwbaarheid van de dienst, in kennis te stellen.

• Een gedocumenteerd en regelmatig getest business continuity plan in stand te houden.

• Een informatiebeveiligingenbeleid te hebben, dat met name risicobeheering, incidentmanagement en back-up beleid omvat.

Deze vereisten overlappen gedeeltelijk met die van NIS2-richtlijn (2022/2555/EU), omgezet in Frans recht door wet nr. 2023-703 van 1 augustus 2023, die PSCo's van aanzienlijke omvang classificeert als belangrijke of kritieke entiteiten die onderworpen zijn aan versterkte cybersecurity-verplichtingen.

> Ontdek hoe elektronische handtekening voor advocatenkantoren deze beperkingen in hun documentworkflows moet integreren.

---

RGPD-verplichtingen specifiek voor PSCo's

Is de PSCo een verwerkingsverantwoordelijke of een verwerker?

De RGPD-kwalificatie van de dienstverlener hangt af van de aard van de verleende dienst:

• Wanneer de PSCo rechtstreeks gekwalificeerde certificaten afgeeft op naam van de ondertekenaar en de doeleinden van gegevensverwerkingen bepaalt (identiteit, biometrische gegevens voor authenticatie), treedt hij op als verwerkingsverantwoordelijke in de zin van artikel 4(7) RGPD.

• Wanneer hij zijn API in het platform van een B2B-klant integreert en persoonsgegevens uitsluitend op instructie van die klant verwerkt, vervult hij de hoedanigheid van verwerker (artikel 4(8) RGPD) en moet hij verplicht een DPA (Data Processing Agreement) afsluiten in overeenstemming met artikel 28 RGPD.

In de praktijk hebben de meeste SaaS-PSCo's beide hoedanigheden: verwerkingsverantwoordelijke voor het beheer van hun eigen certificeringsinfrastructuur, verwerker voor het verwerken van documenten en metagegevens van ondertekenaars.

Specifieke verplichtingen met betrekking tot biometrische gegevens en identiteitsgegevens

De identificatie en authenticatie van de ondertekenaar — verplichte stap voor de afgifte van een gekwalificeerd certificaat — omvat vaak het verwerken van gevoelige gegevens: scan van identiteitsdocumenten, videoselfie, biometrische gegevens voor gezichtsherkenning. Deze gegevens vormen persoonsgegevens die onder de RGPD vallen, of zelfs biometrische gegevens als bedoeld in artikel 9 RGPD (bijzondere categorieën).

De verplichtingen van de PSCo omvatten:

• Juridische grondslag: uitdrukkelijke toestemming (artikel 9§2a) of, in bepaalde gevallen, juridische verplichting (artikel 9§2b) voor de verwerking van biometrische gegevens.

• Beperkte opslagduur: volgens CNIL-richtlijnen moeten identificatiegegevens alleen zo lang worden bewaard als nodig, meestal afgestemd op de geldigheid van het certificaat plus wettelijke bewijstermijn (vaak 10 jaar voor onder de hand opgestelde akten, artikel 2224 van het Frans Burgerlijk Wetboek).

• Effectbeoordeling (AIPD) verplicht (artikel 35 RGPD) zodra de verwerking waarschijnlijk hoog risico met zich meebrengt — wat voor biometrie systematisch het geval is.

• Verwerkingsregister (artikel 30 RGPD) dat up-to-date wordt gehouden en elke verwerkingscategorie documenteert.

Internationale gegevensoverdrachten

Veel PSCo's hosten al of deel van hun infrastructuur buiten de Europese Economische Ruimte (EER). In dit geval gelden de passende waarborgen eisen uit RGPD hoofdstuk V: adequaatbesluit, modelcontractbepalingen (SCCs) van de Europese Commissie of bindende bedrijfsregels (BCR). Het Schrems II arrest (HvJEU, C-311/18, 16 juli 2020) heeft benadrukt dat overdrachten naar de Verenigde Staten voorafgaande risicoanalyse op landniveau vereisen.

> Raadpleeg voor inzicht in de impact van deze regels op uw organisatie onze gids over elektronische handtekening in bedrijven.

---

Transparantie- en informatieverplic

htingen tegenover gebruikers

Certificeringsbeleid (PC) en Verklaring van certificeringspraktijken (DPC)

Elke PSCo die certificaten afgeeft, is verplicht om een Certificeringsbeleid (PC) en een Verklaring van Certificeringspraktijken (DPC) te publiceren, in overeenstemming met norm ETSI EN 319 411. Deze openbaar toegankelijke documenten detailleren:

• De procedures voor identificatie en registratie van ondertekenaars.

• De ingevoerde fysieke en logische beveiligingsmaatregelen.

• De voorwaarden voor certificaatintrekking en de bijbehorende termijnen.

• De verantwoordelijkheden en aansprakelijkheidsbeperkingen van de PSCo.

De afwezigheid of onvolledigheid van deze documenten vormt een non-conformiteit die tijdens de reauditaudit door het erkende orgaan kan worden opgemerkt.

Voorcontractuele en contractuele informatie aan klanten

Naast zuiver technische vereisten verplicht artikel 13 RGPD de PSCo om aan elke persoon van wie gegevens worden verzameld duidelijke en toegankelijke informatie te verstrekken over:

• De identiteit van de verwerkingsverantwoordelijke en contactgegevens van de DPO (verplicht voor PSCo's die op grote schaal gevoelige gegevens verwerken, artikel 37 RGPD).

• De doeleinden en wettelijke grondslag van elke verwerking.

• De rechten van betrokkenen (toegang, rectificatie, wissen, draagbaarheid, bezwaar).

• Eventuele ontvangers van de gegevens (verwerkende partijen, autoriteiten).

Deze informatie moet voorkomen in het privacybeleid van de dienst, in de algemene voorwaarden en, indien van toepassing, in de DPA die is gesloten met professionele klanten.

Gekwalificeerde tijdstempel en audittrail

Om de bewijskracht op lange termijn van handtekeningen te garanderen, associëren serieuze PSCo's systematisch een gekwalificeerde elektronische tijdstempel (artikel 42 eIDAS) aan elke ondertekende akte. Deze tijdstempel vormt een juridisch vermoeden van het bestaan van de gegeven op de aangegeven datum. Het bewaren van de audittrail (identificatielogs, documentafhankelijke waarde, handtekeningsgegevens) is een praktische verplichting om later gerechtelijke verificatie mogelijk te maken.

> Vergelijk marktoplossingen volgens deze criteria in onze vergelijking van elektronische handtekeningoplossingen.

---

eIDAS 2.0: nieuwe verplichtingen aan de horizon 2026-2027

De eIDAS 2.0-verordening (EU) 2024/1183

Gepubliceerd in het Publicatieblad van de EU op 30 april 2024, versterkt verordening (EU) 2024/1183 genaamd « eIDAS 2.0 » aanzienlijk de verplichtingen van PSCo's rond drie assen:

• De Europese portefeuille voor digitale identiteit (EUDI Wallet): lidstaten moeten uiterlijk 2 november 2026 een gecertificeerde digitale identiteitsportefeuille beschikbaar stellen. PSCo's moeten hun dienst integreren met deze portefeuille om gekwalificeerde handtekeningen aan te bieden via eIDAS 2.0-identiteit.

• Het beheer van attribuutverklaringen: eIDAS 2.0 introduceert gekwalificeerde attribuutverklaringen (QEAAs), afgegeven door gekwalificeerde dienstverleners voor attesten. Nieuwe audit- en kwalificatieprocedures zullen gelden.

• Versterkt toezicht: nationale toezichthoudende autoriteiten (ANSSI voor Frankrijk) zien hun bevoegdheden uitgebreid, met name het vermogen om onverwachte audits in te stellen en bindende corrigerende maatregelen in afgekorte termijnen op te leggen.

Praktische implicaties voor huidige dienstverleners

PSCo's die al onder eIDAS 1.0 zijn gekwalificeerd, moeten zich progressief conformeren vóór de door de Commissie gestelde deadlines (gepubliceerd of in voorbereiding). De voornaamste aanpassingen betreffen:

• De herziening van de identificatieinfrastructuur ter ondersteuning van EUDI Wallet als authenticatiemiddel.

• De bijwerking van PC/DPC ter integratie van nieuwe certificaats- en verklaringstypologieën.

• De versterking van veiligheidsvereisten voor QSCD's op afstand, met nieuwe beveiligingsprofielen die volgen.

Voor klantondernemingen betekent dit dat zij al nu moeten verifiëren dat hun dienstverlener beschikt over een gedocumenteerde en verifieerbare conformiteitsroadmap eIDAS 2.0.

Juridisch kader van toepassing op verplichtingen van dienstverleners voor elektronische handtekeningen

De regelgevingsketen van toepassing op dienstverleners voor elektronische handtekeningen die in Frankrijk werkzaam zijn, is opgebouwd uit verschillende hiërarchisch aanvullende niveaus.

Frans Burgerlijk Wetboek — Artikelen 1366 en 1367

Artikel 1366 van het Frans Burgerlijk Wetboek erkent het elektronische geschrift als bewijsmiddel dat gelijkwaardig is aan papieren geschrift, mits « de persoon van wie het afkomstig is, behoorlijk kan worden geïdentificeerd en het is opgesteld en bewaard op een wijze die de integriteit ervan garandeert ». Artikel 1367 specificeert dat de elektronische handtekening « uit het gebruik van een betrouwbare identificatiemethode bestaat die haar verbinding met de akte waaraan zij is gehecht garandeert ». Het vermoeden van betrouwbaarheid profiteert handtekeningen die gekwalificeerd zijn onder eIDAS, omkering van de bewijslast ten gunste van de ondertekenaar.

Verordening eIDAS nr. 910/2014/EU

Deze verordening, direct toepasselijk in alle lidstaten, vormt het juridische kader voor vertrouwendiensten. Artikel 26 bepaalt de voorwaarden voor geavanceerde elektronische handtekeningen; artikel 28 de vereisten voor gekwalificeerde certificaten; Bijlage I geeft details over verplichte inhoud van deze certificaten. Gekwalificeerde PSCo's genieten een vermogen van conformiteit met de technische en juridische vereisten van de verordening (artikel 19§2), wat een groot voordeel vormt in geval van geschil.

Verordening eIDAS 2.0 — (EU) 2024/1183

Gepubliceerd op 30 april 2024, introduceer deze wijzigingsverordening nieuwe categorieën vertrouwendiensten (gekwalificeerde attribuutverklaringen, gekwalificeerde archiveringsdiensten) en versterkt toezichtsverplichtingen. De inhoud is progressief toepasselijk volgens uitvoeringshandelingen van de Europese Commissie.

RGPD — Verordening (EU) 2016/679

De RGPD is van toepassing op elke verwerking van persoonsgegevens in het kader van een elektronische handtekeningendienst. Artikelen 5 (beginselen van rechtmatigheid), 6 (rechtmatige grondslag), 9 (gevoelige gegevens), 13-14 (informatie), 28 (verwerking), 32 (beveiliging), 33-34 (meldingsverplichting voor inbreuk), 35 (DPIA) en 37 (functionaris voor gegevensbescherming) vormen de meest frequent toepasselijke bepalingen. De CNIL is de bevoegde toezichthoudende autoriteit in Frankrijk en kan boetes tot 20 miljoen euro of 4% van jaarlijkse wereldwijde omzet opleggen (artikel 83§5 RGPD).

NIS2-richtlijn — (EU) 2022/2555

Omgezet in Frans recht door wet nr. 2023-703 van 1 augustus 2023, classificeert NIS2 aanzienlijke PSCo's onder belangrijke of kritieke entiteiten die onderworpen zijn aan verplichtingen voor cybersecurity-risicobeheering en incident-meldingen aan ANSSI binnen 24 uur (vroeg bericht) vervolgens 72 uur (volledige melding).

ETSI-normen

De verzameling van normen EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 en TS 119 431 vormt de verplichte technische referentie voor audit van kwalificatie. Het niet naleven ervan maakt het onmogelijk om gekwalificeerde status te verkrijgen of behouden.

Juridische risico's bij niet-conformiteit

Een niet-conforme dienstverlener loopt het risico op: verwijdering uit de Franse TSL, aansprakelijkheid naar burgerlijk en bijzonder recht, CNIL-administratiefe sancties, NIS2-boetes tot 10 miljoen euro of 2% van wereldwijde omzet voor belangrijke entiteiten en 20 miljoen of 4% van omzet voor kritieke entiteiten, alsook rechtszaken van klanten die schadevergoeding vorderen vanwege niet-geldige handtekeningen.

Gebruiksscenario's: hoe ondernemingen de conformiteit van hun PSCo verifiëren

Scenario 1 — Een industriële groep die jaarlijks 3 000 leveranciercontracten beheert

Een middelgrote industriële groep (MKB), werkzaam in de vervaardiging van mechanische apparatuur, digitaliseert al haar leveranciercontracten via een SaaS-platform voor elektronische handtekeningen. Tijdens een interne audit die is gestart na een regelgevingswijziging, stelt de juridische afdeling vast dat de aanvankelijk gekozen dienstverlener — gebaseerd op kostencriteria — noch op de Franse TSL noch op enig Europese TSL is vermeld. De afgegeven handtekeningen zijn van het type « simple » zonder robuust identificatiemechanisme van de ondertekenaar.

Gezien het juridisch risico — de waarde als bewijsmiddel van al de ondertekende contracten zou in geval van geschil kunnen worden betwist — gaat het bedrijf over tot migratie naar een ANSSI-gekwalificeerde PSCo. De nieuwe oplossing bevat een geavanceerde handtekening met gekwalificeerd certificaat, gekwalificeerde tijdstempel en exporteerbare audittrail. De migratieproject, uitgevoerd in minder dan 8 weken, maakt het mogelijk om nieuwe akten achteraf veilig te stellen en een conforme documentairbeleid vast te stellen. De juridische teams schatten dat het contentieusrisico met betrekking tot oude contracten marginaal blijft vanwege hun uitvoering zonder betwisting, maar elke nieuwe handtekening is voortaan beschermd.

Waargenomen resultaten: 60% vermindering van potentiële geschillen met betrekking tot de authenticiteit van handtekeningen, en een winst van 3,5 dagen gemiddelde handtekeningsvertraging op complexe contracten dankzij automatisering van validatiewerkstroom.

Scenario 2 — Een advocatenkantoor met 25 medewerkers gespecialiseerd in bedrijfsrecht

Een advocatenkantoor dat de handtekening van volmachten, adviezen en gerechtelijke akten wil digitaliseren, evalueer verschillende dienstverleners. Zijn evaluatiekader bevat de volgende criteria: aanwezigheid op TSL, publicatie van toegankelijke PC/DPC, bestaan van RGPD-conforme DPA, beschikbaarheid van bereikbare DPO en certificering van QSCD's op afstand.

Van vijf geëvalueerde dienstverleners voldoen slechts twee aan alle criteria. Het kantoor kiest uiteindelijk een PSCo die inheems een gekwalificeerde handtekening via externe QSCD biedt, garantie voor het vermoeden van betrouwbaarheid van artikel 1367 van het Frans Burgerlijk Wetboek. De implementatie duurt 3 weken, scholing inbegrepen. Resultaat: 75% van volmachten worden nu ondertekend in minder dan 24 uur tegen 5 tot 7 dagen eerder (postaal verzenden), en het kantoor kan zijn klanten het beveiligingsniveau van het juridische aanbod rechtvaardigen — een differentiërend argument in zijn commerciële aanbiedingen.

Scenario 3 — Een ziekenhuisgroep met ongeveer 1 200 bedden

Een ziekenhuisgroep die hun arbeidscontracten, stageverklaringen en partnerschapsovereenkomsten wil digitaliseren. De gevoeligheid van verwerkte gegevens (gezondheidsgegevens van medisch personeel, HRM-gegevens) vereist bijzondere voorzichtigheid met betrekking tot RGPD-verplichtingen van de PSCo.

De IT-afdeling en DPO van het ziekenhuis eisen: hosten van gegevens in Frankrijk bij gecertificeerde HDS-dienstverlener (Dienstverlener voor Gezondheidsgegevens, certificering voorzien in artikel L.1111-8 van de Franse gezondheidscodex), geen overdracht buiten EER, gedocumenteerde DPIA voor het identificatieproces van ondertekenaars, en getekende DPA vóór productie.

Na selectie van een PSCo die aan deze criteria voldoet, betreft de implementatie in eerste instantie de HRM-contracten (ongeveer 800 akten per jaar). De gemiddelde handtekeningsvertraging voor bepaalde contracten daalt van 9 dagen tot minder dan 48 uur, waardoor HRM-teams aanzienlijke capaciteit vrijmaken. Het ziekenhuis beschikt bovendien over volledige traceerbaarheid van verkregen toestemmingen, jaarlijks gecontroleerd door de DPO.

Conclusie

De wettelijke verplichtingen die op dienstverleners voor elektronische handtekeningen in Frankrijk drukken, vormen een veeleisend regelgevingscorpus: eIDAS-kwalificering, RGPD-conformiteit, naleving van ETSI-normen, NIS2-verplichtingen en aanstaande aanpassing aan eIDAS 2.0. Voor ondernemingen die deze diensten gebruiken, is het waarborgen van de conformiteit van hun PSCo geen optionele activiteit — het is een sine qua non-voorwaarde voor de bewijskracht van ondertekende akten en gegevensbescherming van ondertekenaars.

Certyneo is een dienstverlener voor elektronische handtekeningen ontworpen om aan alle deze vereisten te voldoen: eIDAS-conformiteit, RGPD by design, soevereine hosting en gedocumenteerde eIDAS 2.0-roadmap. Bereid om uw handtekeningen met volledige conformiteit veilig te stellen? Vraag een demonstratie aan of maak uw account op Certyneo en profiteer van persoonlijke begeleiding vanaf dag één.