Obligasjoner for leverandør av elektronisk signatur i Frankrike

Introduksjon

Å distribuere en løsning for elektronisk signatur i Frankrike er ikke noe som improviseres. Bak hver kvalifisert eller avansert signatur skjuler det seg dusinvis av juridiske obligasjoner som påligger tilbyderen av tillitslaterte tjenester (PSCo). eIDAS-forordningen, RGPD, generelt sikkerhetsveileder, ETSI-normer… det regulatoriske rammeverket er både omfattende og i utvikling. For bedrifter som bruker disse tjenestene, er det avgjørende å forstå disse juridiske obligasjonene for leverandør av elektronisk signatur i Frankrike eIDAS RGPD for å velge en samsvarende partner og unngå juridiske risikoer. Denne artikkelen detaljerer, avsnitt for avsnitt, alle krav som gjelder for PSCo som opererer på fransk territorium.

---

Status som kvalifisert tillitslatert tjenestejarleder

Hva er en PSCo etter eIDAS?

Forordning eIDAS nr. 910/2014 skiller mellom to kategorier leverandører: leverandører av tillitslaterte tjenester som ikke er kvalifiserte og kvalifiserte leverandører (PSCQ). De første kan tilby enkle eller avanserte elektroniske signaturtjenester uten obligatorisk tredjeparts revisjoner. De andre — som eneste autoriserte til å levere kvalifiserte signaturer i henhold til artikkel 3(15) i eIDAS — må oppfylle betydelig strengere krav.

I Frankrike er det Agentur for nasjonal sikkerhet for informasjonssystemer (ANSSI) som oppfyller rollen som tilsynsmyndighet ("Supervisory Body") fastsatt i artikkel 17 i eIDAS. Den publiserer og vedlikeholder den franske tillitslisten (TSL — Trust Service List), tilgjengelig på sitt offisielle nettsted, som viser kvalifiserte leverandører og deres tjenester.

Kvalifikasjonsprosedyren: revisjon og samsvar

For å oppnå kvalifisert status må en PSCo obligatorisk:

• Få tjenestene revidert av et samsvarsvurderingsorgan (CAB — Conformity Assessment Body) akkreditert av COFRAC etter normen EN ISO/IEC 17065.

• Levere revisjonsrapporten til ANSSI, som avgjør om kvalifisert status skal gis. Denne statusen reevalueres minst hver 24. måneder (artikkel 20 §1 eIDAS).

• Varsle ANSSI om alle vesentlige endringer i sine tjenester innen 3 måneder før den planlagte endringen (artikkel 21 eIDAS).

Brudd på disse trinnene eksponerer leverandøren for sletting fra TSL og tap av juridiske presumsjoner knyttet til kvalifisert signatur. For kundbedrifter betyr bruk av en PSCo som ikke er oppført på TSL at de ikke får noen juridisk presumpsjon om pålitelighet.

> For mer informasjon om de ulike signaturniåene og deres juridiske effekter, se vårt komplette veiledning til eIDAS 2.0-forordningen.

---

Tekniske og sikkerhetsobligasjoner pålagt PSCo

Samsvar med ETSI-normer

Kvalifiserte leverandører må oppfylle et sett med europeiske normer publisert av European Telecommunications Standards Institute (ETSI). De viktigste er:

• ETSI EN 319 401: generelle sikkerhetskrav som gjelder for alle PSCo.

• ETSI EN 319 411-1 og 411-2: retningslinjer og praksis for sertifiseringsmyndigheter som utsteder sertifikater for kvalifisert signatur.

• ETSI EN 319 132: formater for avansert elektronisk signatur (XAdES for XML, PAdES for PDF, CAdES for CMS).

• ETSI EN 319 122: CAdES-format for kvalifiserte signaturer.

• ETSI TS 119 431: krav for fjernbaserte signaturskapingstjenester (QSCD på avstand).

Disse normene er ikke valgfrie: eIDAS-forordningen (vedlegg II, III og IV) refererer eksplisitt til dem for å definere minimumskravene for kvalifiserte sertifikater og signaturskapingsenheter.

Forvaltning av sikrede enheter for signaturskaping (QSCD)

En av pilarene for kvalifisert signatur er bruken av en sikret enhet for signaturskaping (QSCD — Qualified Signature Creation Device) som oppfyller vedlegg II i eIDAS. Leverandøren må garantere at:

• Den private nøkkelen til signatøren ikke kan genereres, lagres eller kopieres utenfor QSCD.

• Nøkkelgeneringen skjer utelukkende i et sertifisert miljø (Common Criteria EAL 4+-sertifisering eller tilsvarende).

• Autentiseringen av signatøren før enhver signaturhandling er basert på minst to autentiseringsfaktorer.

I en kontekst med fjernbasert signatur — som blir stadig mer utbredt i SaaS-miljøer — gjelder disse kravene for HSM-serveren (Hardware Security Module) som inneholder nøklene. ANSSI har publisert spesifikke beskyttelsesprofiler (PP-0075, PP-0076) som definerer sikkerhetskriteriene som skal oppnås.

Retningslinjer for forretningskontinuitet og varsling av hendelser

Artikkel 19 i eIDAS pålegger alle tilbydere av tillitslaterte tjenester (kvalifiserte eller ikke) å:

• Varsle tilsynsmyndigheten (ANSSI) og eventuelt databeskyttelsesmyndigheten (CNIL) innen 24 timer etter oppdagelse av en sikkerhetsbrudd som kan påvirke påliteligheten av tjenesten.

• Opprettholde et forretningskontinuitetsplan som er dokumentert og regelmessig testet.

• Ha en informasjonssikkerhetspolicy som formalisert, som omfatter blant annet risikostyring, hendelsesstyring og sikkerhetskopieringspolicy.

Disse kravene overlapper delvis med kravene i NIS2-direktivet (2022/2555/EU), som ble implementert i fransk lov ved lov nr. 2023-703 av 1. august 2023, som klassifiserer PSCo av betydelig størrelse blant viktige eller essensiell enheter underlagt styrket cybersikkerhetsobligasjoner.

> Lær hvordan elektronisk signatur for juridiske kontorer må integrere disse begrensingene i deres dokumentarbeidsflyten.

---

RGPD-spesifikke obligasjoner for PSCo

Er PSCo ansvarlig for behandling eller underleverandør?

RGPD-klassifiseringen av leverandøren avhenger av tjenestens art:

• Når PSCo direkte utsteder kvalifiserte sertifikater på vegne av signatøren og bestemmer formålene for behandling av personopplysninger (identitet, biometriske autentiseringsdata), handler det som ansvarlig for behandling i henhold til artikkel 4(7) RGPD.

• Når det integrerer sitt API i plattformen til en B2B-klient og behandler personopplysninger kun etter instruksjon fra denne klienten, har det kvalifikasjon som underleverandør (artikkel 4(8) RGPD) og må obligatorisk inngå en DPA (Data Processing Agreement) i samsvar med artikkel 28 RGPD.

I praksis kombinerer de fleste SaaS PSCo-er begge kvalifikasjoner: ansvarlig for forvaltningen av egen sertifiseringsinfrastruktur, underleverandør for behandling av dokumenter og metadata fra signatører.

Spesifikke obligasjoner knyttet til biometriske data og identitetsdata

Identifisering og autentisering av signatør — obligatorisk trinn for å utstede et kvalifisert sertifikat — innebærer ofte behandling av sensitive data: skan av identitetsdokument, selvie-video, biometriske ansiktsgjenkjenningsdata. Disse dataene utgjør personopplysninger som er underlagt RGPD, eller til og med biometriske data som nevnt i artikkel 9 RGPD (særlige kategorier).

PSCo-obligasjonene inkluderer:

• Rettslig grunnlag: eksplisitt samtykke (artikkel 9§2a) eller, i visse tilfeller, juridisk forpliktelse (artikkel 9§2b) for behandling av biometriske data.

• Begrenset oppbevaringsvarighet: i henhold til CNILs retningslinjer skal identifiseringsdata oppbevares kun så lenge det er strengt nødvendig, vanligvis tilpasset gyldighetstiden for sertifikatet + juridisk bevisvarighet (ofte 10 år for private avtaler, artikkel 2224 i Frankrikeslov).

• Virkningsanalyse (AIPD) obligatorisk (artikkel 35 RGPD) når behandlingen kan medføre høy risiko — noe som systematisk er tilfelle for biometri.

• Behandlingsregister (artikkel 30 RGPD) oppdatert og dokumentert for hver behandlingskategori.

Internasjonale dataoverføringer

Mange PSCo-er har sin infrastruktur helt eller delvis utenfor det europeiske økonomiske område (EEA). I så fall gjelder de adekvate garantier som kreves av kapittel V RGPD: adekvatsbeslutning, kontraktsbestemmelser fra EU-kommisjonen (SCCs) eller bindende bedriftsregler (BCR). Dommen Schrems II (EU-domstolen, C-311/18, 16. juli 2020) minnet om at overføringer til USA krever forutgående risikovurdering.

> For å forstå virkningen av disse reglene på organisasjonen din, se vårt veiledning om elektronisk signatur i virksomheten.

---

Transparens- og informasjonsobligasjoner overfor brukere

Sertifiseringspolicy (PC) og erklæring om sertifiseringspraksis (DPC)

Hver PSCo som utsteder sertifikater er forpliktet til å publisere en Sertifiseringspolicy (PC) og en Erklæring om sertifiseringspraksis (DPC), i samsvar med normen ETSI EN 319 411. Disse dokumentene, fritt tilgjengelige, detaljerer:

• Prosedyrene for identifisering og registrering av signatører.

• De fysiske og logiske sikkerhetstiltakene som er iverksatt.

• Betingelsene for tilbakekalling av sertifikater og tilhørende frister.

• Ansvar og garantibegrensninger for PSCo.

Fraværet eller ufullstendigheten av disse dokumentene utgjør manglende samsvar som kan påpekes under revisjonen for omkvalifisering av det akkrediterte organet.

Forhåndsavtaleinformasjon og avtaleinformasjon for kunder

Utover de rent tekniske obligasjonene pålegger artikkel 13 RGPD PSCo-en å gi klar og tilgjengelig informasjon til hver person hvis data samles inn, om:

• Identiteten til ansvarlig for behandling og kontaktinformasjonen til personvernombudsmannen (obligatorisk for PSCo som behandler i stor skala sensitive data, artikkel 37 RGPD).

• Formål og rettslig grunnlag for hver behandling.

• Rettighetene til personer (tilgang, rettelse, sletting, portabilitet, opposisjon).

• Mulige mottakere av dataene (underleverandører, myndigheter).

Denne informasjonen må være inkludert i personvernpolicyen for tjenesten, i vilkårene for bruk og eventuelt i DPA inngått med profesjonelle kunder.

Kvalifisert tidsstempling og revisjonsspor

For å sikre langsiktig bevisverdi av signaturer, kobler seriøse PSCo-er systematisk en kvalifisert elektronisk tidsstempling (artikkel 42 eIDAS) til hver signert handling. Denne tidsstemplingen utgjør juridisk presumert bevis for eksistensen av dataene på angitt dato. Oppbevaringen av revisjonsspor (identifiseringslokker, dokumentavtrykk, signaturdata) er en faktisk obligasjon for å muliggjøre senere juridisk verifisering.

> Sammenlikn markedsløsninger etter disse kriteriene i vårt sammenligningstabel over elektroniske signaturer.

---

eIDAS 2.0: nye obligasjoner på horisonten 2026-2027

Forordning eIDAS 2.0 (EU) 2024/1183

Publisert i EU-tidsskriftet 30. april 2024, forordning (EU) 2024/1183 kalt "eIDAS 2.0" styrker PSCo-obligasjonene betydelig rundt tre akser:

• Den europeiske digitale identitetslommebok (EUDI Wallet): medlemsstatene må gjøre en sertifisert digital identitetslommebok tilgjengelig innen 2. november 2026. PSCo-er må integrere tjenesten med denne lommeboken for å tilby kvalifiserte signaturer via eIDAS 2.0-identiteten.

• Forvaltning av attributtattestater: eIDAS 2.0 introduserer kvalifiserte attributtattestater (QEAAs), utstedt av kvalifiserte attesteringsleverandører. Nye revisjons- og kvalifikasjonsprosedyrer vil gjelde.

• Styrking av tilsyn: nasjonale tilsynsmyndigheter (ANSSI for Frankrike) får utvidede makter, særlig muligheten til å iverksette uannonserte revisjoner og pålegge bindende korrigerende tiltak innen forkortet tid.

Praktiske implikasjoner for nåværende leverandører

PSCo-er som allerede er kvalifisert under eIDAS 1.0 må gjennomføre en gradvis overholdelse før de fastsatte fristen i kommisjonens gjennomføringsloven (publisert eller under publisering). Hovedtilpasningene gjelder:

• Omstrukturering av identifiseringsinfrastruktur for å støtte EUDI Wallet som autentiseringsmiddel.

• Oppdatering av PC/DPC for å integrere nye sertifikat- og attesttypologi.

• Styrking av sikkerhetskrav for fjernbaserte QSCD-er, med nye beskyttelsesprofiler som kommer.

For kundbedrifter betyr dette å bekrefte allerede i dag at deres leverandør har en dokumentert eIDAS 2.0-samsvarsveikart som er verifiserbar.

Juridisk rammeverk som gjelder for obligasjoner til leverandører av elektronisk signatur

Normkjeden som gjelder for leverandører av elektronisk signatur som opererer i Frankrike er artikulert på flere komplementære hierarkiske nivåer.

Fransk sivillov — Artikler 1366 og 1367

Artikkel 1366 i sivilloven anerkjenner elektronisk dokument som bevisform tilsvarende papirdokument, forutsatt at "personen som den stammer fra kan identifiseres behørig, og at den er etablert og oppbevart under forhold som sikrer integriteten". Artikkel 1367 presiserer at elektronisk signatur "består i bruken av en pålitelig identifikasjonsprosess som garanterer dens forbindelse med handlingen den er knyttet til". Presumsjonen om pålitelighet kommer kvalifiserte signaturer til gode i henhold til eIDAS, og reverserer beisbyrden til fordel for signatøren.

Forordning eIDAS nr. 910/2014/EU

Denne forordningen, som gjelder direkte i alle medlemsstater, fastsetter det juridiske rammeverket for tillitslaterte tjenester. Artikkel 26 definerer vilkårene for avansert elektronisk signatur; artikkel 28 kravene for kvalifiserte sertifikater; vedlegg I detaljerer obligatorisk innhold i disse sertifikatene. Kvalifiserte PSCo-er nyter godt av en presumsjon om overholdelse av formingenes tekniske og juridiske krav (artikkel 19§2), noe som utgjør en stor fordel i tilfelle tvist.

Forordning eIDAS 2.0 — (EU) 2024/1183

Publisert 30. april 2024, denne endrede forordningen introduserer nye kategorier av tillitslaterte tjenester (kvalifiserte attributtattestater, kvalifiserte arkiveringstjenester) og styrker tilsynsobligasjonene. Den opphever og erstatter delvis forordning 910/2014, med gradvis anvendelighet i henhold til kommisjonens gjennomføringslover.

RGPD — Forordning (EU) 2016/679

RGPD gjelder for enhver behandling av personopplysninger utført i sammenheng med en elektronisk signaturtjeneste. Artikler 5 (rettslighetsprinsippet), 6 (rettslig grunnlag), 9 (sensitive data), 13-14 (informasjon), 28 (underleverandørskap), 32 (sikkerhet), 33-34 (bruddvarsel), 35 (AIPD) og 37 (personvernombud) utgjør de mest hyppig anvendbare disposisjonene. CNIL er den kompetente kontrollmyndigheten i Frankrike og kan pålegge bøter på opptil 20 millioner euro eller 4 % av årlig verdensomsetning (artikkel 83§5 RGPD).

NIS2-direktiv — (EU) 2022/2555

Implementert i fransk lov ved lov nr. 2023-703 av 1. august 2023, klassifiserer NIS2 significante PSCo-er blant viktige eller essensielle enheter underlagt cybersikkerhetsobligasjoner for risikostyring og varslingsplikt til ANSSI innen 24 timer (tidlig varsel) og deretter 72 timer (fullstendig varsel).

ETSI-normer

Alle normer EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 og TS 119 431 utgjør den obligatoriske tekniske referansen for kvalifikasjonrevisjonen. Manglende samsvar med dem medfører umulighet til å oppnå eller opprettholde kvalifisert status.

Juridiske risikoer ved manglende overholdelse

En ikke-samsvarende leverandør er utsatt for: sletting fra fransk TSL, kontraktsmessig og utenfor kontraktsmessig ansvar, CNIL-administrative sanksjoner, NIS2-bøter som kan nå 10 millioner euro eller 2 % av verdensomsetning for viktige enheter og 20 millioner eller 4 % av CA for essensielle enheter, samt rettslige søksmål fra kunder som har lidd tap på grunn av juridisk ugyldige signaturer.

Bruksscenarioer: hvordan bedrifter bekrefter overholdelse hos sin PSCo

Scenario 1 — En industrigruppe som forvalter 3 000 leverandørkontrakter per år

En mellomstørrelse industrigruppe (ETI), aktiv innen fremstilling av mekanisk utstyr, demateriaiserer alle sine leverandørkontrakter via en SaaS-plattform for elektronisk signatur. Under en intern revisjon utløst etter en lovgivningsendring, konstaterer juridisk avdeling at den valgte leverandøren — opprinnelig valgt på prisbasis — er verken oppført på fransk TSL eller på noen europeisk TSL. Signaturene som leveres er av "enkel" type uten robust signatøridentifikasjonsmekanism.

Overfor juridisk risiko — hele porteføljen av signerte kontrakter kunne få sin bevisverdi bestridt ved tvist — gjennomfører bedriften migrering til en ANSSI-kvalifisert PSCo. Den nye løsningen inkluderer avansert signatur med kvalifisert sertifikat, kvalifisert tidsstempling og eksporterbart revisjonsspor. Migrasjonsprosjektet, gjennomført på mindre enn 8 uker, tillater sikring av nye kontrakter og etablering av samsvarsende dokumentpolicy. De juridiske avdelingene estimerer at risikoen for kontentsius knyttet til gamle kontrakter er marginal på grunn av deres vellykket gjennomføring uten innsigelse, men all ny signatur er nå dekket.

Observerte gevinster: reduksjon på 60 % av potensielle tvister knyttet til autentisiteten av signaturer, og gevinst på 3,5 dager gjennomsnittlig signeringstid på komplekse kontrakter takket være automatisering av valideringsarbeidsflyten.

Scenario 2 — Et advokatkontorfor 25 medarbeidere spesialisert i forretningsrett

Et advokatkontore ønsker å digitalisere signaturen av mandater, råd og rettspapirer og evaluerer flere leverandører. Analyseruttentypen inkluderer følgende kriterier: tilstedeværelse på TSL, publisering av tilgjengelig PC/DPC, eksistens av RGPD-samsvarende DPA, tilgjengelighet av kontaktbar DPO og sertifisering av fjernbaserte QSCD-er.

Av fem evaluerte leverandører oppfyller kun to alle kriterier. Kontore velger til slutt en PSCo som tilbyr nativt kvalifisert signatur via QSCD på avstand, garantert presumsjonen om pålitelighet i artikkel 1367 av sivilloven. Implementeringen tar 3 uker, opplæring inkludert. Resultat: 75 % av mandatene er nå signert på mindre enn 24 timer versus 5 til 7 dager tidligere (postalforsendelse), og kontore kan rettferdiggjøre det juridiske sikkerhetsnivået som tilbys av løsningen overfor klientene — et differensierende argument i sine kommersielle forslag.

Scenario 3 — En sykehusgruppe med omkring 1 200 senger

En sykehusgruppe i offentlig sektor ønsker å dematerialisere arbeidskontrakter, praksisavtaler og samarbeidsavtaler med andre helseinstitusjonene. Sensitiviteten til behandlede data (helsedata for medisinsk personell, HR-data) pålegger ekstra akt på PSCo-obligasjonene under RGPD.

IT-direktøren og personvernombudsmannen i institusjonen krever: datalagring i Frankrike hos en sertifisert helsedataleverandør (HDS — Healthealth Data Hoster, sertifisering som er fastsatt i artikkel L.1111-8 i folkehelseloven), ingen overføringer utenfor EEA, dokumentert AIPD for behandling av signatøridentifisering, og DPA signert før produksjonssetting.

Etter valg av en PSCo som oppfyller disse kriteriene, omfatter distribusjonen først HR-kontrakter (ca. 800 handlinger per år). Den gjennomsnittlige signeringstiden for arbeidskontrakter reduseres fra 9 dager til mindre enn 48 timer, noe som frigjør betydelig kapasitet for HR-teamene. Institusjonen har dessuten fullstendig sporbarhet for innsamlede samtykker, revidert årlig av sitt personvernombud.

Konklusjon

De juridiske obligasjonene som påligger leverandører av elektronisk signatur i Frankrike utgjør et krevende regelverk: eIDAS-kvalifisering, RGPD-samsvar, samsvar med ETSI-normer, NIS2-obligasjoner og forestående tilpasning til eIDAS 2.0. For brukerorganisasjoner er sikring av at sin PSCo er i samsvar ikke en valgfri prosess — det er en forutsetning for bevissverdien av signerte handlinger og for beskyttelse av personopplysninger til signatører.

Certyneo er en leverandør av elektronisk signatur designet for å oppfylle alle disse kravene: eIDAS-samsvar, RGPD by design, suveren datalagring og dokumentert eIDAS 2.0-veikart. Klar til å sikre dine signaturer i full overholdelse? Be om en demonstrasjon eller opprett kontoen din på Certyneo og motta personlig veiledning fra dag en.