Forpliktelser for leverandør av elektronisk signatur i Frankrike

Introduksjon

Det er ikke noe som kan improviseres når du skal implementere en løsning for elektronisk signatur i Frankrike. Bak hver kvalifisert eller avansert signatur ligger det dusinvis av juridiske forpliktelser som påhviler leverandøren av tillitsstjenester (PSCo). eIDAS-forordningen, GDPR, generell sikkerhetsstandardbok, ETSI-standarder... det regulatoriske rammeverket er både omfattende og i konstant utvikling. For bedrifter som bruker slike tjenester, er det avgjørende å forstå disse juridiske forpliktelsene for leverandør av elektronisk signatur i Frankrike, eIDAS og GDPR for å velge en samsvarende partner og unngå juridisk risiko. Denne artikkelen detaljerer, avsnitt for avsnitt, alle kravene som gjelder for PSCo som opererer på fransk territorium.

---

Status som kvalifisert leverandør av tillitsstjenester

Hva er en PSCo ifølge eIDAS?

Forordning eIDAS nr. 910/2014 skiller mellom to kategorier av leverandører: leverandører av ikke-kvalifiserte tillitsstjenester og kvalifiserte leverandører (PSCQ). De første kan tilby tjenester for enkel eller avansert elektronisk signatur uten obligatorisk tredjepartsrevisjon. De andre – som er de eneste som har autorisasjon til å levere kvalifiserte signaturer i henhold til artikkel 3(15) i eIDAS – må oppfylle betydelig strengere krav.

I Frankrike er det Nasjonalt bureau for informasjonssikkerhet (ANSSI) som fungerer som tilsynsmyndighet («Supervisory Body») som nevnt i artikkel 17 i eIDAS. Det publiserer og vedlikeholder den franske tillitslisten (TSL – Trust Service List) på sitt offisielle nettsted, som oppfører kvalifiserte leverandører og deres tjenester.

Kvalifiseringsprosedyren: revisjon og samsvar

For å oppnå kvalifisert status må en PSCo obligatorisk:

• La tjenestene sine revideres av et samsvarsvurderingsorgan (CAB – Conformity Assessment Body) som er akkreditert av COFRAC i henhold til normen EN ISO/IEC 17065.

• Fremlegge revisjonsrapporten for ANSSI, som tar stilling til om den kvalifiserte statusen skal gis. Denne statusen blir revurdert minst hver 24. måned (artikkel 20 §1 eIDAS).

• Underrette ANSSI om enhver vesentlig endring i tjenestene sine innen 3 måneder før den planlagte endringen (artikkel 21 eIDAS).

Manglende overholdelse av disse trinnene utsetter leverandøren for sletting fra TSL og tap av de juridiske presumsjonene som er knyttet til kvalifisert signatur. For kundeselskaper betyr det å bruke en PSCo som ikke er oppført på TSL at man ikke får noen juridisk presumsjon om pålitelighet.

> Hvis du vil vite mer om de ulike signaturniåene og deres juridiske effekter, se vår artikkel.

---

Tekniske og sikkerhetsmessige forpliktelser pålagt PSCo

Overholdelse av ETSI-standarder

Kvalifiserte leverandører må overholde et sett med europeiske standarder publisert av European Telecommunications Standards Institute (ETSI). De viktigste er:

• ETSI EN 319 401: generelle sikkerhetskrav som gjelder for alle PSCo.

• ETSI EN 319 411-1 og 411-2: retningslinjer og praksis for sertifikatautoriteter som utsteder sertifikater for kvalifisert signatur.

• ETSI EN 319 132: formater for avansert elektronisk signatur (XAdES for XML, PAdES for PDF, CAdES for CMS).

• ETSI EN 319 122: CAdES-format for kvalifiserte signaturer.

• ETSI TS 119 431: krav for tjenester for opprettelse av signatur på avstand (QSCD på avstand).

Disse standardene er ikke valgbare: eIDAS-forordningen (vedlegg II, III og IV) henviser eksplisitt til dem for å definere minimumskravene for kvalifiserte sertifikater og signaturopprrettingsenheter.

Håndtering av kvalifiserte signaturopprrettingsenheter (QSCD)

En av pilarene i kvalifisert signatur er bruken av en kvalifisert signaturopprrettingsenhet (QSCD – Qualified Signature Creation Device) som er i samsvar med vedlegg II i eIDAS. Leverandøren må garantere at:

• Signaturens private nøkkel ikke kan genereres, lagres eller kopieres utenfor QSCD.

• Nøkkelgenerering skjer utelukkende i et sertifisert miljø (Common Criteria EAL 4+ sertifisering eller tilsvarende).

• Autentisering av signaturisten før signering baseres på minst to autentiseringsfaktorer.

I en kontekst med signering på avstand – som blir stadig mer vanlig i SaaS-miljøer – gjelder disse kravene for HSM-serveren (Hardware Security Module) som inneholder nøklene. ANSSI har publisert spesifikke beskyttelsesprofiler (PP-0075, PP-0076) som definerer sikkerhetskriteriene som må oppnås.

Policy for kontinuitet og varsling av hendelser

Artikkel 19 i eIDAS pålegger enhver leverandør av tillitsstjenester (kvalifisert eller ikke) å:

• Underrette tilsynsmyndigheten (ANSSI) og eventuelt databeskyttelsesmyndigheten (CNIL) innen 24 timer etter oppdagelsen av en sikkerhetsbrudd som kan påvirke påliteligheten av tjenesten.

• Opprettholde en dokumentert og regelmessig testet handlingsplan for kontinuitet.

• Ha en formalisert informasjonssikkerhetspolicy som dekker blant annet risikostyring, hendelseshåndtering og sikkerhetskopieringspolicy.

Disse kravene overlapper delvis med kravene i NIS2-direktivet (2022/2555/EU), som ble gjennomført i fransk lov ved lov nr. 2023-703 av 1. august 2023, som klassifiserer PSCo av betydelig størrelse blant viktige eller essensielle enheter som er underlagt forsterket cybersikkerhet.

> Finn ut hvordan din organisasjon må integrere disse begrensningene i dine dokumentarbeidsflyten.

---

GDPR-spesifikke forpliktelser for PSCo

Er PSCo ansvarlig for behandling eller databehandler?

GDPR-klassifiseringen av leverandøren avhenger av tjenestens art:

• Når PSCo direkte utsteder kvalifiserte sertifikater på vegne av signaturisten og bestemmer formål for behandling av personopplysninger (identitet, biometriske autentiseringsdata), handler den som ansvarlig for behandlingen i henhold til artikkel 4(7) GDPR.

• Når den integrerer sitt API i B2B-kundens plattform og behandler personopplysninger kun etter kundens instrukser, er den databehandler (artikkel 4(8) GDPR) og må obligatorisk inngå en DPA (Data Processing Agreement) i samsvar med artikkel 28 GDPR.

I praksis har de fleste SaaS PSCo dobbel status: ansvarlig for administrasjon av deres egen sertifiseringsinfrastruktur, databehandler for behandling av signatarers dokumenter og metadata.

Spesifikke forpliktelser knyttet til biometriske data og identitetsdata

Identifikasjon og autentisering av signaturisten – et obligatorisk trinn for å utstede et kvalifisert sertifikat – medfører ofte behandling av sensitive data: skanning av identitetsdokument, videoselfieing, biometriske data fra ansiktsgjenkjenning. Disse dataene er personopplysninger underlagt GDPR, eller til og med biometriske data som faller under artikkel 9 GDPR (særlige kategorier).

PSCo-forpliktelsene inkluderer:

• Rettslig grunnlag: eksplisitt samtykke (artikkel 9§2a) eller i noen tilfeller juridisk forpliktelse (artikkel 9§2b) for behandling av biometriske data.

• Begrenset oppbevaringsvarighet: i henhold til CNIL-retningslinjer skal identifikasjonsdata oppbevares bare så lenge det er nødvendig, vanligvis i tråd med sertifikatets gyldighetsvarighet pluss lovlig bevisvarighet (ofte 10 år for privatrettlige dokumenter, artikkel 2224 i Code civil).

• Obligatorisk konsekvensvurdering (DPIA) (artikkel 35 GDPR) når behandlingen kan medføre høy risiko – noe som systematisk er tilfelle for biometri.

• Register over behandlinger (artikkel 30 GDPR) som holdes oppdatert og dokumenterer hver behandlingskategori.

Internasjonale dataoverføringer

Mange PSCo-er har all eller deler av infrastrukturen sin utenfor Det europeiske økonomiske område (EØA). I så fall gjelder de passende garantier som kreves av GDPR kapittel V: tilstrekkelighetsvedtak, standardavtaler for dataoverføring (SCCs) fra Kommisjonen eller bindende bedriftsregler (BCR). Schrems II-kjennelsen (Gerichtshof der EU, C-311/18, 16. juli 2020) minnet om at overføringer til USA krever forutgående analyse av landerisk.

> For å forstå virkningen av disse reglene på din organisasjon, se vår artikkel.

---

Forpliktelser om åpenhet og informasjon til brukere

Sertifiseringspolicy (PC) og sertifiseringspraksiserklæring (DPC)

Enhver PSCo som utsteder sertifikater, er pliktig til å publisere en sertifiseringspolicy (PC) og en sertifiseringspraksiserklæring (DPC), i samsvar med ETSI-standarden EN 319 411. Disse dokumentene, som er fritt tilgjengelige, beskriver:

• Prosedyrer for identifikasjon og registrering av signaturister.

• Fysiske og logiske sikkerhetstiltak som er iverksatt.

• Betingelser for tilbakekalling av sertifikater og tilhørende frister.

• PSCo-ansvar og garantibegrensninger.

Fravær eller ufullstendighet i disse dokumentene utgjør en manglende samsvar som kan påpekes under revisjonen av rekvalifisering av det akkrediterte organet.

Prekontraktuelle og kontraktuelle opplysninger til kunder

Utover de rent tekniske forpliktelsene pålegger artikkel 13 GDPR PSCo-en å gi hver person hvis data som samles inn, klar og tilgjengelig informasjon om:

• Identiteten på den ansvarlige for behandlingen og kontaktinformasjon til DPO (obligatorisk for PSCo som i stor skala behandler sensitive data, artikkel 37 GDPR).

• Formål og rettslig grunnlag for hver behandling.

• Rettigheter for personer (innsyn, retting, sletting, overførbarhet, innsigelse).

• Eventuelle mottakere av data (databehandlere, myndigheter).

Disse opplysningene må fremgå av tjenestens personvernerklæring, i vilkårene for bruk og eventuelt i DPA inngått med profesjonelle kunder.

Kvalifisert tidsmerking og revisjonslogg

For å garantere langsiktig bevisverdi for signaturer forbinder seriøse PSCo-er systematisk en kvalifisert elektronisk tidsmerking (artikkel 42 eIDAS) til hver signert handling. Denne tidsmerkingen utgjør en juridisk antatt bevis for eksistensen av dataene på den angitte datoen. Opprettholdelsen av revisjonsloggen (identifikasjonslogger, dokumenthash, signaturdata) er en faktisk forpliktelse for å muliggjøre enhver senere rettslig verifikasjon.

> Sammenlign markedsløsninger etter disse kriteriene i vår artikkel.

---

eIDAS 2.0: nye forpliktelser i horisonten 2026-2027

Forordning eIDAS 2.0 (EU) 2024/1183

Publisert i EU-tidsskriftet den 30. april 2024, forordning (EU) 2024/1183 kalt «eIDAS 2.0» styrker betydelig forpliktelsene for PSCo rundt tre hovedpunkter:

• Den europeiske digitale identitetslommebok (EUDI Wallet): medlemsstatene må gjøre en sertifisert digital identitetslommebok tilgjengelig innen 2. november 2026. PSCo-er må integrere tjenesten sin med denne lommeboken for å tilby kvalifiserte signaturer via eIDAS 2.0-identiteten.

• Administrasjon av attributtsertifikater: eIDAS 2.0 introduserer kvalifiserte attributtsertifikater (QEAAs), utstedt av kvalifiserte attributtsertifikatleverandører. Nye revisjons- og kvalifiseringsprosedyrer vil gjelde.

• Styrket tilsyn: nasjonale tilsynsmyndigheter (ANSSI for Frankrike) får utvidede fullmakter, særlig evnen til å foreta uvarslede revisjoner og ilegge bindende korrigerende tiltak innen forkortet tidsfrist.

Praktiske implikasjoner for nåværende leverandører

PSCo-er som allerede er kvalifisert under eIDAS 1.0 må gjennomføre progressiv overholdelsestilpasning før de fastsatte fristene i Kommisjonens implementeringshandlinger (publisert eller under publisering). Hovedtilpasningene gjelder:

• Omlegging av identifikasjonsfrastrukturen for å støtte EUDI Wallet som autentiseringsmiddel.

• Oppdatering av PC/DPC for å integrere nye sertifikat- og attestsertifikattypologier.

• Styrking av sikkerhetskravene for QSCD-er på avstand, med nye beskyttelsesprofiler i påvente.

For kundeselskaper betyr det å verifisere allerede i dag at leverandøren har en dokumentert og kontrollerbar eIDAS 2.0-samsvarsstrategi.

Juridisk rammeverk som gjelder for forpliktelsene til leverandører av elektronisk signatur

Den normative kjeden som gjelder for leverandører av elektronisk signatur som opererer i Frankrike er strukturert på flere komplementære hierarkiske nivåer.

Fransk Code civil – Artikler 1366 og 1367

Artikkel 1366 i Code civil anerkjenner elektronisk skrift som bevisform tilsvarende papirskrift, forutsatt at «personen hvem dokumentet stammer fra kan identifiseres med sikkerhet, og at det opprettholdes og konserveres under forhold som garanterer integriteten». Artikkel 1367 presiserer at elektronisk signatur «består i bruken av en pålitelig prosess for identifikasjon som garanterer forbindelsen med dokumentet det gjelder». Presumsjonen om pålitelighet strekker seg til kvalifiserte signaturer i henhold til eIDAS, og vender bevisbyrden til fordel for signaturisten.

Forordning eIDAS nr. 910/2014/EU

Denne forordningen, som er direkte anvendelig i alle medlemsstater, etablerer det juridiske rammeverket for tillitsstjenester. Artikkel 26 definerer betingelsene for avansert elektronisk signatur; artikkel 28 definerer kravene til kvalifiserte sertifikater; vedlegg I beskriver obligatorisk innhold i disse sertifikatene. Kvalifiserte PSCo-er nyter en presumsjon om samsvar med forordningens tekniske og juridiske krav (artikkel 19§2), noe som er en stor fordel ved eventuelle tvister.

Forordning eIDAS 2.0 – (EU) 2024/1183

Publisert 30. april 2024, denne endringsforordningen introduserer nye kategorier av tillitsstjenester (kvalifiserte attributtsertifikater, kvalifiserte arkiveringstjenester) og styrker tilsynsforpliktelsene. Den opphever og erstatter delvis forordning 910/2014, med progressiv anvendelighet etter Kommisjonens implementeringshandlinger.

GDPR – Forordning (EU) 2016/679

GDPR gjelder for enhver behandling av personopplysninger gjennomført som del av en elektronisk signaturtjeneste. Artikler 5 (prinsipper for lovlighet), 6 (rettslig grunnlag), 9 (sensitive data), 13-14 (informasjon), 28 (databehandling), 32 (sikkerhet), 33-34 (varsling av brudd), 35 (DPIA) og 37 (DPO) utgjør de mest hyppig anvendte bestemmelsene. CNIL er tilsynsmyndigheten i Frankrike og kan ilegge bøter opp til 20 millioner euro eller 4% av årlig verdensomspennende omsetning (artikkel 83§5 GDPR).

Direktiv NIS2 – (EU) 2022/2555

Gjennomført i fransk lov ved lov nr. 2023-703 av 1. august 2023, klassifiserer NIS2 betydelige PSCo-er blant viktige eller essensielle enheter underlagt forpliktelser for styring av cybersikkerhetsrisiko og varsling av hendelser til ANSSI innen 24 timer (tidlig advarsel) deretter 72 timer (fullstendig varsling).

ETSI-standarder

Det komplette settet med standarder EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 og TS 119 431 utgjør den obligatoriske tekniske referansen for kvalifiseringskontroll. Manglende overholdelse fører til umuligheten av å oppnå eller opprettholde kvalifisert status.

Juridisk risiko ved manglende samsvar

En leverandør som ikke er samsvarende, utsetter seg for: sletting fra den franske TSL, iverksettelse av kontraktuell og ekstrakontrakstuell ansvar, administrative sanksjoner fra CNIL, NIS2-bøter som kan nå 10 millioner euro eller 2% av verdensomspennende omsetning for viktige enheter og 20 millioner eller 4% av omsetningen for essensielle enheter, samt søksmål fra kunder som har lidd tap på grunn av juridisk ugyldige signaturer.

Bruksscenarier: hvordan bedrifter verifiserer samsvar hos PSCo-en sin

Scenario 1 – Et industrikonsern som håndterer 3 000 leverandørkontrakter per år

Et industrikonsern av middels størrelse (ETI), som driver med produksjon av mekanisk utstyr, dematerialiserer alle leverandørkontrakter via en SaaS-plattform for elektronisk signatur. Under en intern revisjon utløst av regulatorisk endring, oppdager juridisk avdeling at den valgte leverandøren – opprinnelig valgt basert på pris – er oppført på verken den franske TSL eller noen annen europeisk TSL. Signaturene som leveres, er av typen «enkel» uten robuste identifikasjonsmekanismer for signaturisten.

Når risikoen for juridiske spørsmål vokser – hele samlingen av kontrakter kunne få sin bevisverdi betvilt i tilfelle tvist – gjennomfører bedriften en migrasjon til en ANSSI-kvalifisert PSCo. Den nye løsningen integrerer avansert signatur med kvalifisert sertifikat, kvalifisert tidsmerking og eksporterbar revisjonslogg. Migrasjonsprosjektet, som gjennomføres på mindre enn 8 uker, gjør det mulig å sikre nye handlinger retroaktivt og etablere en samsvarende dokumentpolicy. Juridiske team anslår at risikoen for tvist knyttet til gamle kontrakter forblir marginal på grunn av deres gjennomføring uten innsigelse, men alle nye signaturer er nå dekket.

Observerte gevinster: 60% reduksjon i potensielle tvister knyttet til signaturautentisitet, og 3,5 dagers gjennomsnittlig signaturgevinst på komplekse kontrakter takket være automatisering av valideringsarbeidsflyten.

Scenario 2 – Et advokatfirma med 25 samarbeidende avviklende juridisk specialisering

Et advokatfirma som ønsker å digitalisere signaturen av mandater, consultations og prosesshandlinger evaluerer flere leverandører. Analyserutenettet inkluderer følgende kriterier: tilstedeværelse på TSL, publisering av tilgjengelig PC/DPC, eksistensen av GDPR-samsvarende DPA, tilgjengelighet til kontaktbar DPO og sertifisering av QSCD-er på avstand.

Av fem evaluerte leverandører oppfyller bare to alle kriterier. Firmaet velger til slutt en PSCo som tilbyr systemisk kvalifisert signatur via QSCD på avstand, og garanterer presumsjonen om pålitelighet i artikkel 1367 i Code civil. Implementeringen tar 3 uker, opplæring inkludert. Resultat: 75% av mandatene blir nå signert på mindre enn 24 timer mot 5 til 7 dager tidligere (postsendig), og firmaet kan rettferdiggjøre overfor sine kunder sikkerhetsnivået som tilbys av løsningen – et differensierende argument i sine kommersielle proposisjoner.

Scenario 3 – Et sykehussamfunn på omtrent 1 200 senger

Et offentlig sykehussamfunn ønsker å dematerialisere arbeidskontrakter, stagiørkonvensjoner og partneringsavtaler med andre helseinstitusjoner. Følsomheten for data som behandles (helsedata for helsepersonell, HR-data) pålegger særlig årvåkenhet med hensyn til PSCo-forpliktelsene under GDPR.

IT-direktøren og datavernet krev: hosting av data i Frankrike hos en datahosting-leverandør sertifisert HDS (Datatilretteholder, sertifisering fastsatt av artikkel L.1111-8 i kodex for offentlig helse), ingen overføring utenfor EØA, dokumentert DPIA for behandling av identifikasjon av signaturister, og signert DPA før all produksjon.

Etter valg av en PSCo som oppfyller disse kriteriene, dekker utplasseringen først og fremst HR-kontrakter (omtrent 800 handlinger per år). Den gjennomsnittlige signeringstiden for kontrakter med fastsatt varighet faller fra 9 dager til mindre enn 48 timer, noe som frigjør betydelig kapasitet for HR-teamene. Organisasjonen har dessuten full sporbarhet av innsamlet samtykke, revidert årlig av datavernet.

Konklusjon

De juridiske forpliktelsene som påhviler leverandører av elektronisk signatur i Frankrike utgjør et krevende normativt korpus: eIDAS-kvalifisering, GDPR-samsvar, respekt for ETSI-standarder, NIS2-forpliktelser og forestående tilpasning til eIDAS 2.0. For bedrifter som bruker tjenestene, sikring av PSCo-samsvar er ikke en valgbar prosedyre – det er en grunnleggende forutsetning for bevisverdien av signerte handlinger og beskyttelsen av personopplysningene til signaturister.

Certyneo er en leverandør av elektronisk signatur designet for å oppfylle alle disse kravene: eIDAS-samsvar, GDPR by design, suverent hosting og dokumentert eIDAS 2.0 strategi. Klar til å sikre signaturene dine i full samsvar? Kontakt oss og nyt personalisert veiledning fra dag én.