Verplichtingen elektronische handtekeningverlener Frankrijk

Inleiding

Het implementeren van een elektronische handtekeningoplossing in Frankrijk vergt voorbereiding. Achter elke gekwalificeerde of geavanceerde handtekening schuilen tientallen wettelijke verplichtingen die gelden voor de vertrouwdienstverlener (PSCo). eIDAS-verordening, RGPD, algemeen veiligheidskader, ETSI-normen... het regelgeving is zowel omvangrijk als evoluerend. Voor gebruiksondernemingen is het begrijpen van deze wettelijke verplichtingen vertrouwdienstverlener elektronische handtekening Frankrijk eIDAS RGPD onmisbaar om een conforme partner te kiezen en juridische risico's te vermijden. Dit artikel behandelt sectie voor sectie alle vereisten die van toepassing zijn op PSCo's die op Frans grondgebied actief zijn.

---

De status van gekwalificeerde vertrouwdienstverlener

Wat is een PSCo onder eIDAS?

De verordening eIDAS nr. 910/2014 onderscheidt twee categorieën vertrouwdienstverleners: niet-gekwalificeerde en gekwalificeerde vertrouwdienstverleners (PSCQ). De eerste categorie kan services voor eenvoudige of geavanceerde elektronische handtekeningen aanbieden zonder verplichte controle door derden. De tweede categorie — alleen bevoegd om gekwalificeerde handtekeningen af te geven in de zin van artikel 3(15) van eIDAS — moet aan aanzienlijk strengere vereisten voldoen.

In Frankrijk vervult het Nationale Agentschap voor de Veiligheid van Informatie- en Communicatiesystemen (ANSSI) de rol van toezichthoudende instantie (« Supervisory Body ») zoals voorzien in artikel 17 van eIDAS. Het publiceert en onderhoudt de Franse vertrouwenslijst (TSL — Trust Service List), beschikbaar op haar officiële website, met daarop de gekwalificeerde verleners en hun services.

De gekwalificatieprocedure: controle en naleving

Om gekwalificeerde status te verkrijgen, moet een PSCo verplicht:

• Zijn services laten controleren door een erkende conformiteitsbeoordelingsinstelling (CAB — Conformity Assessment Body) die is geaccrediteerd door de COFRAC volgens de norm EN ISO/IEC 17065.

• Het controleverslag indienen bij de ANSSI, die beslist over de toekenning van gekwalificeerde status. Deze status wordt minstens eens in de 24 maanden opnieuw geëvalueerd (artikel 20 §1 eIDAS).

• De ANSSI op de hoogte stellen van wezenlijke wijzigingen in zijn services binnen 3 maanden voordat de wijziging plaatsvindt (artikel 21 eIDAS).

Niet-naleving van deze stappen stelt de verlener bloot aan doorhaling van de TSL en verlies van de juridische vermoedens van betrouwbaarheid die aan gekwalificeerde handtekeningen zijn verbonden. Voor bedrijfsklanten betekent het gebruik van een PSCo die niet op de TSL voorkomt dat zij geen enkel wettelijk vermoeden van betrouwbaarheid genieten.

> Raadpleeg onze artikel voor meer informatie over de verschillende niveaus van handtekeningen en hun juridische effecten.

---

Technische verplichtingen en veiligheidsverplichtingen voor PSCo's

Naleving van ETSI-normen

Gekwalificeerde verleners moeten voldoen aan een reeks Europese normen gepubliceerd door het Europees Instituut voor Telecommunicatiestandaarden (ETSI). De belangrijkste zijn:

• ETSI EN 319 401: algemene veiligheidsvereisten van toepassing op alle PSCo's.

• ETSI EN 319 411-1 en 411-2: beleid en praktijken van certificeringsinstanties die gekwalificeerde handtekeningscertificaten verstrekken.

• ETSI EN 319 132: indelingen van geavanceerde elektronische handtekeningen (XAdES voor XML, PAdES voor PDF, CAdES voor CMS).

• ETSI EN 319 122: CAdES-indeling voor gekwalificeerde handtekeningen.

• ETSI TS 119 431: vereisten voor diensten voor het maken van handtekeningen op afstand (externe QSCD).

Deze normen zijn niet optioneel: de eIDAS-verordening (Bijlage II, III en IV) verwijst er expliciet naar om de minimumvereisten voor gekwalificeerde certificaten en handtekeningsapparaten vast te stellen.

Beheer van beveiligde apparaten voor handtekeningsverificatie (QSCD)

Een van de pijlers van de gekwalificeerde handtekening is het gebruik van een beveiligd handtekeningsverificatieapparaat (QSCD — Qualified Signature Creation Device) conform Bijlage II van eIDAS. De verlener moet garanderen dat:

• De privésleutel van de ondertekenaar alleen in de QSCD kan worden gegenereerd, opgeslagen of gekopieerd.

• Sleutelgeneratie exclusief in een erkende omgeving plaatsvindt (Common Criteria-certificering EAL 4+ of gelijkwaardig).

• De authenticatie van de ondertekenaar voorafgaande aan elke handtekeningingsactie is gebaseerd op minstens twee authenticatiefactoren.

In een context van ondertekening op afstand — steeds vaker in SaaS-omgevingen — zijn deze vereisten van toepassing op de HSM-server (Hardware Security Module) waarin de sleutels worden opgeslagen. De ANSSI heeft specifieke beschermingsprofielen gepubliceerd (PP-0075, PP-0076) die veiligheidscriteria definiëren die moeten worden bereikt.

Beleid voor bedrijfscontinuïteit en incidentmeldingen

Artikel 19 van eIDAS stelt aan alle vertrouwdienstverleners (gekwalificeerd of niet) de verplichting op:

• De toezichthoudende instantie (ANSSI) en, voorzover van toepassing, de gegevensbeschermingsinstantie (CNIL) in kennis te stellen binnen 24 uur na vaststelling van een veiligheidsinbreuk die van invloed kan zijn op de betrouwbaarheid van de dienst.

• Een gedocumenteerd bedrijfscontinuïteitsplan te hebben dat regelmatig wordt getest.

• Een gearchiveerd informatiebeveiligingsbeleid te hebben dat met name het risicobeheer, incidentbeheer en back-upbeleid omvat.

Deze vereisten overlappen gedeeltelijk met de vereisten van richtlijn NIS2 (2022/2555/EU), omgezet in Franse wetgeving door de wet nr. 2023-703 van 1 augustus 2023, die PSCo's van betekenisvolle omvang als belangrijke of essentiële entiteiten classificeren die aan versterkte cybersecurity-verplichtingen onderworpen zijn.

> Ontdek hoe teams met contractmanagement deze beperkingen in hun documentaire workflows moeten integreren.

---

RGPD-verplichtingen specifiek voor PSCo's

Is de PSCo verantwoordelijke of verwerkingsverantwoordelijke?

De RGPD-kwalificatie van de verlener hangt af van de aard van de verstrekte dienst:

• Wanneer de PSCo rechtstreeks gekwalificeerde certificaten namens de ondertekenaar verstrekt en de doelstellingen bepaalt van de verwerking van persoonsgegevens (identiteit, biometrische authenticatiegegevens), handelt deze als verantwoordelijke in de zin van artikel 4(7) RGPD.

• Wanneer deze zijn API in het platform van een B2B-klant integreert en persoonsgegevens alleen volgens de instructies van deze klant verwerkt, vervult het de hoedanigheid van verwerkingsverantwoordelijke (artikel 4(8) RGPD) en moet verplicht een DPA (Data Processing Agreement) sluiten conform artikel 28 RGPD.

In de praktijk combineren de meeste SaaS PSCo's beide hoedanigheden: verantwoordelijke voor het beheer van hun eigen certificeringsinfrastructuur, verwerkingsverantwoordelijke voor de verwerking van documenten en metagegevens van ondertekenars.

Specifieke verplichtingen met betrekking tot biometrische en identiteitsgegevens

De identificatie en authenticatie van de ondertekenaar — een verplichte stap voor het verstrekken van een gekwalificeerd certificaat — houdt vaak in dat gevoelige gegevens worden verwerkt: scan van een identiteitsdocument, videoselfie, biometrische gegevens van gezichtsherkenning. Deze gegevens vormen persoonsgegevens die onder de RGPD vallen, in sommige gevallen biometrische gegevens die onder artikel 9 RGPD (bijzondere categorieën) vallen.

De verplichtingen van de PSCo omvatten:

• Rechtsbasis: expliciete toestemming (artikel 9§2a) of, in bepaalde gevallen, wettelijke verplichting (artikel 9§2b) voor de verwerking van biometrische gegevens.

• Beperkte opslagduur: naar aanleiding van CNIL-richtlijnen moeten identificatiegegevens zo lang mogelijk worden bewaard als strikt nodig is, meestal in lijn met de geldigheidsduur van het certificaat + wettelijke bewijsduur (vaak 10 jaar voor onderhandse akten, artikel 2224 van het Franse Burgerlijk Wetboek).

• Verplichte impactanalyse (AIPD) (artikel 35 RGPD) zodra de verwerking een hoog risico kan vormen — wat systematisch het geval is voor biometrie.

• Register van verwerkingen (artikel 30 RGPD) dat up-to-date wordt gehouden en elke verwerkingscategorie documenteert.

Internationale gegevensoverdrachten

Veel PSCo's hebben hun volledige of gedeeltelijke infrastructuur buiten de Europese Economische Ruimte (EER). In dit geval gelden de passende waarborgen die in Hoofdstuk V RGPD vereist zijn: adequaatbesluit, standaardcontractbepalingen (SCCs) van de Europese Commissie of bindende bedrijfsregels (BCR). Het arrest Schrems II (CJEU, C-311/18, 16 juli 2020) onderstreepte dat overdrachten naar de Verenigde Staten voorafgaande risicoanalyse vereisen.

> Raadpleeg onze artikel om de impact van deze regels op uw organisatie te begrijpen.

---

Verplichtingen inzake transparantie en informatieverstrekking aan gebruikers

Certificeringsbeleid (PC) en verklaring van certificeringspraktijken (DPC)

Elke PSCo die certificaten verstrekt, is verplicht een Certificeringsbeleid (PC) en Verklaring van Certificeringspraktijken (DPC) te publiceren, in overeenstemming met de norm ETSI EN 319 411. Deze documenten, vrij toegankelijk, beschrijven in detail:

• Procedures voor identificatie en registratie van ondertekenars.

• Fysieke en logische veiligheidsmaatregelen die zijn getroffen.

• Voorwaarden voor herroeping van certificaten en bijbehorende termijnen.

• Verantwoordelijkheden en aansprakelijkheidsbeperkingen van de PSCo.

Afwezigheid of onvolledigheid van deze documenten vormt een non-conformiteit die kan worden opgemerkt bij de audits bij herbekwaming door de erkende instelling.

Voorcontractuele en contractuele informatie aan klanten

Naast puur technische verplichtingen stelt artikel 13 RGPD aan de PSCo voor dat duidelijke en toegankelijke informatie moet worden verstrekt aan elke persoon van wie gegevens worden verzameld over:

• Identiteit van de verantwoordelijke en contactgegevens van de DPO (verplicht voor PSCo's die op grote schaal gevoelige gegevens verwerken, artikel 37 RGPD).

• Doelstellingen en rechtsbasis van elke verwerking.

• Rechten van personen (toegang, rectificatie, verwijdering, draagbaarheid, bezwaar).

• Mogelijke gegevensontvangers (verwerkingsverantwoordelijken, autoriteiten).

Deze informatie moet voorkomen in het privacybeleid van de service, in de gebruiksvoorwaarden en, zo nodig, in de DPA die met professionele klanten is gesloten.

Gekwalificeerde tijdstempel en audittrail

Om de bewijswaarde van handtekeningen op lange termijn te waarborgen, associëren serieuze PSCo's systematisch een gekwalificeerde elektronische tijdstempel (artikel 42 eIDAS) aan elke ondertekende akte. Deze tijdstempel vormt een wettelijk vermoeden van het bestaan van de gegevens op de aangegeven datum. Het behoud van de audittrail (identificatielogs, documentfingerprints, handtekeningsgegevens) is een feitelijke verplichting om toekomstige rechterlijke verificatie mogelijk te maken.

> Vergelijk marktoplossingen op basis van deze criteria in ons artikel.

---

eIDAS 2.0: nieuwe verplichtingen horizon 2026-2027

Verordening eIDAS 2.0 (EU) 2024/1183

Gepubliceerd in het Publicatieblad van de EU op 30 april 2024, versterkt verordening (EU) 2024/1183 genaamd « eIDAS 2.0 » aanzienlijk de verplichtingen van PSCo's rond drie assen:

• De Europese Digitale Identiteitsbeurs (EUDI Wallet): lidstaten moeten vóór 2 november 2026 een gekwalificeerde digitale identiteitsbeurs ter beschikking stellen. PSCo's zullen hun service met deze portemonnee moeten integreren om gekwalificeerde handtekeningen via eIDAS 2.0-identiteit aan te bieden.

• Beheer van identiteitsattributen: eIDAS 2.0 introduceert gekwalificeerde attribuutverklaringen (QEAAs), uitgegeven door gekwalificeerde attribuutverleners. Nieuwe audit- en kwalificatieprocedures zullen van toepassing zijn.

• Versterking van toezicht: nationale toezichtinstanties (ANSSI voor Frankrijk) zien hun bevoegdheden uitgebreid, met name het vermogen om plots audits uit te voeren en bindende corrigerende maatregelen in verkorte termijnen in te stellen.

Praktische implicaties voor huidige verleners

PSCo's die reeds onder eIDAS 1.0 zijn gekwalificeerd, moeten zich geleidelijk conformeren vóór de deadline bepaald door uitvoeringsbesluiten van de Commissie (gepubliceerd of in voorbereiding). De voornaamste aanpassingen betreffen:

• Herstructurering van de identificatieinfrastructuur ter ondersteuning van EUDI Wallet als authenticatiemiddel.

• Update van PC/DPC om nieuwe typen certificaten en verklaringen op te nemen.

• Versterking van veiligheidsvereisten voor externe QSCD's, met nieuwe te publiceren beschermingsprofielen.

Voor gebruiksondernemingen betekent dit al vandaag controleren dat hun verlener een gedocumenteerde en verifieerbare nalevingsroutekaart voor eIDAS 2.0 heeft.

Toepasselijk juridisch kader voor de verplichtingen van elektronische handtekeningsverleners

De regelgeving van toepassing op elektronische handtekeningsverleners die in Frankrijk actief zijn, is in meerdere hiërarchische aanvullende niveaus verdeeld.

Frans Burgerlijk Wetboek — Artikelen 1366 en 1367

Artikel 1366 van het Burgerlijk Wetboek erkent het elektronische geschrift als bewijsmiddel gelijkwaardig aan schriftelijk bewijs, op voorwaarde dat « de persoon van wie het afkomstig is, behoorlijk kan worden geïdentificeerd en het op zodanige wijze is opgesteld en bewaard dat de integriteit ervan kan worden gegarandeerd ». Artikel 1367 verduidelijkt dat elektronische handtekening « bestaat uit het gebruik van een betrouwbare identificatieprocedure die het verband met de akte waaraan zij is gekoppeld garandeert ». Het vermoeden van betrouwbaarheid is van toepassing op gekwalificeerde handtekeningen onder eIDAS, waardoor de bewijslast in het voordeel van de ondertekenaar wordt omgekeerd.

Verordening eIDAS nr. 910/2014/EU

Deze verordening, rechtstreeks toepasselijk in alle lidstaten, bepaalt het juridische kader voor vertrouwensdiensten. Artikel 26 definieert de voorwaarden voor geavanceerde elektronische handtekening; artikel 28 de vereisten voor gekwalificeerde certificaten; Bijlage I detailleert de verplichte inhoud van deze certificaten. Gekwalificeerde PSCo's genieten een vermoeden van conformiteit met de technische en juridische vereisten van de verordening (artikel 19§2), wat een groot voordeel is in geval van geschil.

Verordening eIDAS 2.0 — (EU) 2024/1183

Gepubliceerd op 30 april 2024, introduceert deze wijzigingsverordening nieuwe categorieën vertrouwensdiensten (gekwalificeerde attribuutverklaringen, gekwalificeerde archiefdiensten) en versterkt toezichtverplichtingen. Het heft gedeeltelijk verordening 910/2014 op en vervangt deze, met geleidelijke toepasselijkheid afhankelijk van uitvoeringsbesluiten van de Europese Commissie.

RGPD — Verordening (EU) 2016/679

De RGPD is van toepassing op alle verwerkingen van persoonsgegevens in het kader van een elektronische handtekeningsservice. De artikelen 5 (beginselen van rechtmatigheid), 6 (rechtsbasis), 9 (gevoelige gegevens), 13-14 (informatieverstrekking), 28 (onderverdeling), 32 (beveiliging), 33-34 (incidentmeldingen), 35 (AIPD) en 37 (DPO) vormen de meest frequently toepasselijke bepalingen. De CNIL is de bevoegde toezichtinstantie in Frankrijk en kan boetes opleggen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet (artikel 83§5 RGPD).

Richtlijn NIS2 — (EU) 2022/2555

Omgezet in Frans recht door de wet nr. 2023-703 van 1 augustus 2023, classificeert NIS2 PSCo's van betekenisvolle omvang als belangrijke of essentiële entiteiten onder verplichting tot cyberrisicobeheer en incidentmelding aan de ANSSI binnen 24 uur (vroege waarschuwing) vervolgens 72 uur (volledige meldingen).

ETSI-normen

Alle normen EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 en TS 119 431 vormen de verplichte technische referentie voor kwalificatieaudits. Niet-naleving ervan voorkomt het verkrijgen of handhaven van gekwalificeerde status.

Juridische risico's bij niet-naleving

Een niet-conforme verlener riskeert: doorhaling van de Franse TSL, aansprakelijkheid onder contract- en buitencontractuele vordering, CNIL-administratieve boetes, NIS2-boetes tot 10 miljoen euro of 2% van de wereldwijde omzet voor belangrijke entiteiten en 20 miljoen of 4% van de omzet voor essentiële entiteiten, en juridische procedures van klanten die schade hebben geleden doordat handtekeningen juridisch ongeldig waren.

Gebruiksscenario's: hoe ondernemingen de naleving van hun PSCo controleren

Scenario 1 — Een industrieel conglomeraat dat 3.000 leverancierscontracten per jaar beheert

Een industrieel conglomeraat van middelbare omvang (ETI), actief in de fabricage van mechanische apparatuur, digitaliseert alle leverancierscontracten via een SaaS-platform voor elektronische handtekeningen. Tijdens een interne audit die na een regelgevingswijziging is gestart, stelt de juridische afdeling vast dat de gekozen verlener — aanvankelijk op basis van prijscriteria geselecteerd — op noch de Franse TSL, noch een Europese TSL staat. De afgegeven handtekeningen zijn van het type « eenvoudig » zonder robuust identificatiemechanisme van de ondertekenaar.

Gezien het juridische risico — de bewijswaarde van alle ondertekende contracten kan in geval van geschil worden betwist — migreert het bedrijf naar een ANSSI-gekwalificeerde PSCo. De nieuwe oplossing integreert een geavanceerde handtekening met gekwalificeerd certificaat, een gekwalificeerde tijdstempel en een exporteerbare audittrail. Het migratieproject, in minder dan 8 weken voltooid, stelt het bedrijf in staat om nieuwe akten achteraf veilig te stellen en een conforme documentairestandaard op te stellen. De juridische teams schatten in dat het geschilrisico met betrekking tot oude contracten marginaal is gezien hun probleemloos uitvoering, maar elke nieuwe handtekening is nu volledig gedekt.

Waargenomen voordelen: 60% reductie van mogelijke geschillen met betrekking tot authenticiteit van handtekeningen, en winst van 3,5 dagen gemiddelde handtekeningen-tot-ondertekening voor complexe contracten door werkstroomautomatisering.

Scenario 2 — Een advocatenkantoor met 25 medewerkers gespecialiseerd in bedrijfsrecht

Een advocatenkantoor dat de ondertekening van volmachten, adviezen en procedureakten digitaliseert, evalueert verschillende verleners. De analysesheet omvat de volgende criteria: aanwezigheid op de TSL, publicatie van een toegankelijke PC/DPC, bestaan van een RGPD-conforme DPA, beschikbaarheid van een contactpersoon DPO en certificering van externe QSCD's.

Van vijf geëvalueerde verleners voldoen slechts twee aan alle criteria. Het kantoor kiest uiteindelijk een PSCo die native gekwalificeerde handtekening via externe QSCD aanbiedt, waarmee het vermoeden van betrouwbaarheid van artikel 1367 van het Burgerlijk Wetboek wordt gegarandeerd. De implementatie vergt 3 weken, training inbegrepen. Resultaat: 75% van volmachten wordt nu in minder dan 24 uur ondertekend tegen 5 tot 7 dagen eerder (verzending per post), en het kantoor kan gegenover zijn klanten rechtvaardigen wat beveiligingsniveau juridisch wordt geboden — een onderscheidend argument in commerciële voorstellen.

Scenario 3 — Een ziekenhuisgroep van ongeveer 1.200 bedden

Een ziekenhuisgroep in de openbare sector wil arbeidscontracten, stageprogramma's en partnerschapsovereenkomsten met partnergezondheidsinstellingen digitaliseren. De gevoeligheid van verwerkte gegevens (gezondheidsgegevens van zorgpersoneel, HR-gegevens) stelt verscherpte waakzaamheid vast op RGPD-verplichtingen van de PSCo.

De ICT-afdeling en DPO van de instelling eisen: opslag van gegevens in Frankrijk bij een HDS-gecertificeerde gegevensverlener (Certificering voor Gezondheidsgegevensverlener, voorzien in artikel L.1111-8 van de Volksgezondheid), geen overdracht buiten EER, gedocumenteerde AIPD voor behandeling van ondertekenaar-identificatie, en ondertekende DPA voordat productie begint.

Na selectie van een PSCo die aan deze criteria voldoet, dekt de implementatie in eerste instantie HR-contracten (ongeveer 800 akten per jaar). De gemiddelde handtekentijd voor bepaalde contracten loopt terug van 9 dagen naar minder dan 48 uur, wat capaciteit voor HR-teams vrijgeeft. De instelling beschikt bovendien over volledige traceerbaarheid van verkregen toestemmingen, jaarlijks gecontroleerd door zijn DPO.

Conclusie

De juridische verplichtingen voor elektronische handtekeningsverleners in Frankrijk vormen een veeleisend regelgevingscorpus: eIDAS-kwalificatie, RGPD-naleving, naleving van ETSI-normen, NIS2-verplichtingen en aankomende aanpassing aan eIDAS 2.0. Voor gebruiksondernemingen is het verzekeren van naleving van hun PSCo geen optionele werkzaamheid — het is een voorwaarde voor de bewijswaarde van ondertekende akten en de bescherming van persoonsgegevens van ondertekenars.

Certyneo is een elektronische handtekeningsverlener ontworpen om aan al deze vereisten te voldoen: eIDAS-conformiteit, RGPD by design, soevereine hosting en gedocumenteerde eIDAS 2.0-roadmap. Klaar om uw handtekeningen volledig conform veilig te stellen? Neem contact op en ontvang persoonlijke begeleiding vanaf dag één.