Przestrzeń klienta podpisującego w sektorze publicznym: praktyczny przewodnik

Zdematrializacja procedur administracyjnych przyspiesza w jednostkach samorządu terytorialnego i administracjach francuskich. Od wejścia w życie planu „Action publique 2022" oraz zobowiązań wynikających z rozporządzenia eIDAS, organizacje publiczne muszą oferować płynne, bezpieczne i skuteczne ścieżki cyfrowe. W centrum tego urządzenia znajduje się przestrzeń klienta podpisującego, portal dedykowany umożliwiający każdemu użytkownikowi lub partnerowi odbieranie, przeglądanie, podpisywanie i archiwizowanie dokumentów oficjalnych online. Artykuł ten szczegółowo opisuje konkretne etapy tworzenia takiej przestrzeni w sektorze publicznym, wymagane wymogi regulacyjne i dobre praktyki zaczerpnięte z doświadczenia.

Dlaczego przestrzeń klienta podpisującego stała się strategiczna dla sektora publicznego

Kontekst regulacyjny i oczekiwania użytkowników

We Francji rozporządzenie nr 2014-1330 z 6 listopada 2014 r. dotyczące prawa użytkowników do kontaktowania się z administracją drogą elektroniczną położyło pierwsze fundamenty obowiązku zdematrializacji. Od tego czasu ustawa ESSOC (2018), ustawa 3DS (2022) i kolejne okólniki międzyresortowe wzmocniły tę dynamikę. Zgodnie z barometrem zdematrializacji opublikowanym przez DINUM w 2025 r., ponad 87% procedur administracyjnych pierwszego poziomu jest dostępnych online, ale tylko 54% integruje mechanizm podpisu elektronicznego, który jest prawnie ważny.

Użytkownicy już nie tolerują schodzenia się i rozchodzenia się dokumentów papierowych. Badanie OpinionWay z 2024 r. wskazuje, że 72% francuskich obywateli woli podpisać dokument administracyjny online niż się udawać, pod warunkiem że urządzenie jest proste i wiarygodne. Przestrzeń klienta podpisującego odpowiada dokładnie na to oczekiwanie, oferując jeden punkt dostępu, bezpieczny i możliwy do śledzenia dla wszystkich zdematrializowanych aktów.

Różnice w stosunku do sektora prywatnego

W przeciwieństwie do sektora prywatnego, organizacje publiczne podlegają dodatkowym ograniczeniom: zamówienia publiczne regulowane Kodeksem zamówień publicznych, uchwały podlegające kontroli legalności prefektury, akty stanu cywilnego regulowane Kodeksem cywilnym. Poziom wymaganego podpisu elektronicznego zależy od charakteru dokumentu: prosta umowa partnerstwa może zadowolić się podpisem elektronicznym zaawansowanym (SEA), natomiast akt notarialny lub uchwała rady gminy mogą wymagać w niektórych przypadkach podpisu kwalifikowanego (SEQ) zdefiniowanego w artykule 26 rozporządzenia eIDAS.

Aby prawidłowo wybrać poziom dostosowany do każdego typu aktu, zapoznaj się z naszym kompleksowym przewodnikiem podpisu elektronicznego opisującym trzy poziomy eIDAS i warunki ich stosowania w sektorze publicznym.

Etapy tworzenia przestrzeni klienta podpisującego w jednostce samorządu terytorialnego lub administracji

Etap 1 — Mapowanie przepływów dokumentów i interesariuszy

Przed wdrożeniem jakiegokolwiek narzędzia konieczne jest przeprowadzenie mapowania przepływów. Faza ta polega na identyfikacji:

• Typów dokumentów objętych (uchwały, zamówienia publiczne, umowy, zezwolenia urbanistyczne, akty HR itp.);
• Podpisujących wewnętrznych (politycy, dyrektorzy generalni, kierownicy departments) i zewnętrznych (podwykonawcy, stowarzyszenia, obywatele, pracownicy innych podmiotów publicznych);
• Wolumenów rocznych i związanych z nimi terminów umownych lub regulacyjnych;
• Istniejących systemów informatycznych (oprogramowanie branżowe typu SEDIT, CIVIL NET, CIRIL, Berger-Levrault) z którymi będzie musiała się interfejować przestrzeń klienta.

To mapowanie pozwala na zdefiniowanie zakresu funkcjonalnego platformy i uniknięcie duplikatów z narzędziami już wdrożonymi. Warunkuje również poziom bezpieczeństwa i uwierzytelniania do wdrożenia dla każdej kategorii użytkowników.

Etap 2 — Wybór rozwiązania technicznego dostosowanego do wymogów sektora publicznego

Wybór rozwiązania podpisu elektronicznego dla sektora publicznego odpowiada konkretnym kryteriom, które sektor prywatny nie zawsze narzuca z taką samą rygoryką:

1. Suwerenny hosting: dane organizacji publicznej muszą być hostowane we Francji lub Unii Europejskiej na infrastrukturach certyfikowanych HDS (w przypadku danych zdrowotnych) lub SecNumCloud (w przypadku danych wrażliwych). Kwalifikacja SecNumCloud ANSSI stała się kryteriom rozróżniającym od okólnika Premiera Ministra z 5 lipca 2021 r.
2. Interoperacyjność: rozwiązanie musi udostępniać zdokumentowane interfejsy API REST zgodne z wytycznymi RGI (Referentiel Général d'Interopérabilité) i RGS (Referentiel Général de Sécurité).
3. Dostępność RGAA: na mocy ustawy nr 2005-102 z 11 lutego 2005 r. i aktów wdrażających, portale publiczne dostępne dla obywateli muszą być zgodne z Ogólnym Referencielem Usprawnienia Dostępności (RGAA 4.1) na minimalnym poziomie AA.
4. Zgodność eIDAS: certyfikaty podpisu muszą być wydane przez kwalifikowanego Dostawcę Usług Zaufania (TSP) umieszczonego na europejskiej liście zaufania (Trusted List) opublikowanej przez Komisję Europejską.

Aby porównać dostępne na rynku rozwiązania według tych kryteriów, nasz porównanie rozwiązań podpisu elektronicznego oferuje siatkę oceny dostosowaną do nabywców publicznych.

Etap 3 — Konfiguracja przestrzeni klienta podpisującego: uwierzytelnianie i podróż użytkownika

Konfiguracja przestrzeni klienta podpisującego opiera się na trzech filarach technicznych:

Uwierzytelnianie podpisujących: sektor publiczny ma przewagę strukturalną dzięki FranceConnect+, krajowemu urządzeniu tożsamości cyfrowej zarządzanemu przez DINUM. FranceConnect+ umożliwia uwierzytelnianie istotne lub wysokie w znaczeniu eIDAS, co sprawia, że podpisane akty są skuteczne bez jakichkolwiek wątpliwości. W przypadku zewnętrznych podwykonawców (przedsiębiorstw, stowarzyszeń) wzmocnione uwierzytelnianie pocztą e-mail (OTP) w połączeniu z weryfikacją tożsamości dokumentowej może być wystarczające do aktów poziomu pośredniego.

Podróż podpisu powinna być zaplanowana tak, aby zminimalizować tarcie: powiadomienie e-mailem lub SMS, bezpośredni dostęp do dokumentu z dedykowanej przestrzeni, przegląd treści przed podpisem, złożenie podpisu w jedno lub dwa kliknięcia w zależności od wymaganego poziomu, oraz potwierdzenie horodatowanym certyfikatem. Kwalifikowane czasowe znakowanie (RFC 3161) gwarantuje integralność dokumentu i pewną datę podpisu, elementy niezbędne w przypadku sporu.

Zarządzanie delegacjami i obiegami weryfikacyjnymi: w jednostce samorządu terytorialnego akt zwykle nosi tylko jeden ostateczny podpis, ale poprzedzają go wewnętrzne obiegi zatwierdzające. Przestrzeń klienta podpisującego musi umożliwić konfigurowanie przepływów pracy wieloetapowych (elektroniczny parafeur) z regułami delegacji zgodnymi z zarządzeniem o delegacji podpisu organizacji.

Etap 4 — Zapewnienie przechowywania i archiwizacji dowodowej

Przestrzeń klienta podpisującego to nie tylko podpis: musi gwarantować wartość dowodową dokumentów w czasie. Kodeks spadkowy (artykuły L. 211-1 i dalsze) nakłada na organizacje publiczne konkretne okresy przechowywania w zależności od charakteru aktów (10 lat na zamówienia publiczne, okres nieograniczony dla uchwał itp.).

Norma NF Z 42-020 definiuje wymagania dla elektronicznego systemu archiwizacji o wartości dowodowej (SAE). Przestrzeń klienta podpisującego musi interfejsować się z SAE organizacji lub oferować natywnie krypto sejf cyfrowy zgodny. Korzystanie z certyfikowanego dostawcy archiwizacyjnego pozwala na egzokuryzację tego zobowiązania przy jednoczesnym utrzymaniu wymagalności wymaganej przez CNIL i sądy administracyjne.

Należy zauważyć, że podpisane dokumenty pozostają dostępne dla każdego podpisującego z jego osobistej przestrzeni, zgodnie z uprawnieniami dostępu przewidzianymi przez RODO i ustawę CADA.

Zarządzanie, szkolenia i zarządzanie zmianami w sektorze publicznym

Strukturyzacja zarządzania projektem

Wdrożenie przestrzeni klienta podpisującego to projekt transformacji organizacyjnej i techniczny. Zarządzanie musi obejmować:

• Kierownictwo ogólne (DGS/DGA) w celu wsparcia politycznego i zatwierdzenia aktów objętych;
• Kierownictwo systemów informatycznych (DSI) do integracji technicznej i bezpieczeństwa;
• Inspektora ochrony danych (DPD), obowiązkowego w organizacjach publicznych od artykułu 37 RODO, do zatwierdzenia analizy wpływu (AIPD);
• Dział prawny do mapowania ryzyk i zatwierdzenia wartości prawnej każdej kategorii zdematrializowanych aktów.

Kwartalny komitet sterujący, łączący te strony zainteresowane, pozwala na dostosowanie wdrożenia i ustalanie priorytetów dla przepływów do zdematrializacji w zależności od obserwowanych zysków operacyjnych.

Szkolenie agentów i zewnętrznych podpisujących

Wdrażanie przestrzeni klienta podpisującego w dużej mierze opiera się na jakości zarządzania zmianami. Pracownicy publiczni, przyzwyczajeni do procesów papierowych lub heterogenicznych narzędzi, potrzebują krótkiego, ale ukierunkowanego szkolenia: zrozumienie wartości prawnej podpisu elektronicznego, umiejętność identyfikacji sfałszowanego dokumentu, opanowanie obwodu podpisu ich zakresu.

Dla zewnętrznych podpisujących (przedsiębiorstw podwykonawcy, subwencjonowanych stowarzyszeń), prosty przewodnik użytkownika dostępny z samej przestrzeni klienta znacznie zmniejsza wnioski o wsparcie. Nowoczesne platformy integrują teraz samouczki kontekstowe i dynamiczną FAQ bezpośrednio w podróż podpisu. Centrum pomocy Certyneo oferuje na przykład zasoby edukacyjne dostosowalne do Twoich wewnętrznych komunikacji.

Pomiar korzyści i kierowanie danymi

Zwrot z inwestycji przestrzeni klienta podpisującego w sektorze publicznym mierzy się na kilku wymiarach:

• Średni czas podpisu: zdematrializacja zmniejsza średnio cykl podpisu z 7-14 dni do poniżej 48 godzin zgodnie z doświadczeniami pionierskich jednostek samorządu terytorialnego;
• Stopa utraconego lub źle zarchiwizowanego dokumentu: zero tendencji z interfejsowanym SAE;
• Koszty bezpośrednie: wydruki, frankowskie, opóźnienia kuriera, ponowne przetwarzanie niestandardowych dokumentów;
• Zadowolenie zewnętrznych podpisujących: mierzalne za pośrednictwem zintegrowanego NPS na koniec podróży podpisu.

Te wskaźniki zasilają tablicę nawigacyjną komitetu sterującego i uzasadniają stopniowe rozszerzenie zakresu zdematrializacji. Aby dokładnie oszacować potencjalne zyski dla Twojej organizacji, nasz kalkulator ROI podpisu elektronicznego pozwala na spersonalizowaną projekcję w mniej niż 5 minut.

Ramy prawne mające zastosowanie do przestrzeni klienta podpisującego w sektorze publicznym

Wdrożenie przestrzeni klienta podpisującego w jednostce samorządu terytorialnego lub administracji francuskiej wpisuje się w gęstą strukturę prawną na kilku poziomach.

Rozporządzenie eIDAS nr 910/2014 Parlamentu Europejskiego i Rady stanowi europejski fundament. Rozróżnia ono trzy poziomy podpisu elektronicznego (prosty, zaawansowany, kwalifikowany) i nakłada, że tylko podpis kwalifikowany korzysta z domniemania wiarygodności równoważnego podpisowi ręcznemu we wszystkich państwach członkowskich. W przypadku wrażliwych aktów publicznych konieczne jest korzystanie z certyfikatu kwalifikowanego wydanego przez Dostawcę Usług Zaufania (TSP) wpisanego na europejską listę zaufania. Rozporządzenie eIDAS 2.0 (Rozporządzenie UE 2024/1183), wchodzące w życie od maja 2024 r., wzmacnia te wymogi, wprowadzając Europejski Portfel Tożsamości Cyfrowej (EUDIW), którego integracja w portalach publicznych będzie operacyjna do 2026-2027 r. zgodnie z harmonogramem ustalanym przez Komisję.

Kodeks cywilny, artykuły 1366 i 1367, określa warunki ważności dokumentu elektronicznego w prawie francuskim: niezawodna identyfikacja autora i gwarancja integralności dokumentu. Warunki te są spełniane przez mechanizmy kryptograficzne podpisów zaawansowanych i kwalifikowanych.

RODO nr 2016/679 nakłada na każdą organizację przetwarzającą dane osobowe (imię i nazwisko, email, identyfikator FranceConnect podpisujących) obowiązek przeprowadzenia Analizy Wpływu Ochrony Danych (AIPD) przed wdrożeniem przestrzeni klienta, zgodnie z artykułem 35 rozporządzenia. Zobowiązanie to wzmacnia się dla organizacji publicznych. Powołanie DPD (artykuł 37) jest obowiązkowe dla wszystkich organów publicznych.

Ogólny Referentiel Bezpieczeństwa (RGS v2.0), opublikowany przez ANSSI, określa poziomy bezpieczeństwa wymagane dla usług teleinformatycznych państwa i jednostek samorządu terytorialnego. Platformy podpisu wdrażane w tym kontekście muszą być audytowane i, w zależności od poziomu wrażliwości danych, kwalifikowane lub certyfikowane przez ANSSI.

Normy ETSI regulują technicznie formaty podpisów: ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) i ETSI EN 319 162 (PAdES dla plików PDF). Format PAdES jest rekomendowany dla dokumentów publicznych ze względu na jego natywną czytelność w standardowych przeglądarkach PDF.

Dyrektywa NIS2 (UE 2022/2555), transponowana w prawie francuskim ustawą nr 2024-449 z 21 maja 2024 r., rozszerza wymogi cyberbezpieczeństwa na podmioty istotne i ważne, do których należy wiele organizacji publicznych (gminy powyżej 30 000 mieszkańców, departamenty, regiony, placówki zdrowotne). Platformy podpisu muszą wpisywać się w politykę bezpieczeństwa systemów informatycznych (PSSI) organizacji i podlegać zgłoszeniu incydentu ANSSI w razie naruszenia.

Wreszcie, Kodeks zamówień publicznych (artykuły R. 2132-1 i dalsze) nakłada zdematrializację zamówień publicznych powyżej 40 000 € HT i wymaga podpisu elektronicznego aktów zaangażowania. Nieprzestrzeganie tego zobowiązania naraża organizację na ryzyko nieważności aktów i sankcji podczas kontroli legalności prefekturalnej.

Scenariusze użycia: przestrzeń klienta podpisującego w działaniu w sektorze publicznym

Scenariusz 1 — Wspólnota aglomeracyjna zdematrializuje swoje umowy partnerskie

Wspólnota aglomeracyjna obejmująca około dwadzieścia gmin zarządza rocznie ponad 350 umowami partnerskimi ze stowarzyszeniami lokalnymi, placówkami edukacyjnymi i prywatnymi dostawcami usług. Przed wdrożeniem przestrzeni klienta podpisującego każda umowa wymagała średnio 18 dni od zatwierdzenia wewnętrznego do podpisu obu stron, ze wskaźnikiem utraty dokumentów szacowanym na 4% (dokumenty źle zarchiwizowane lub wersje niepodpisane przechowywane przez pomyłkę).

Po wdrożeniu przestrzeni klienta podpisującego zintegrowanej z istniejącym systemem informatycznym, średni czas podpisu spadł do 3,5 dnia. Partnerskie stowarzyszenia uzyskują dostęp do swojej przestrzeni poprzez FranceConnect, otrzymują powiadomienie e-mailem, gdy dokument jest gotów do podpisu, i znajdują wszystkie swoje umowy zarchiwizowane w ich osobistej przestrzeni. Wskaźnik utraty dokumentów wynosi zero od wdrożenia. Szacunkowe roczne oszczędności kosztów drukowania, opłat pocztowych i powtórnego przetwarzania administracyjnego przekraczają 15 000 €, nie licząc zysku w czasie pracy.

Scenariusz 2 — Departament zdematrializuje akty zamówień publicznych swoich kierunków

Rada departamentu przetwarzająca ponad 1 200 zamówień publicznych rocznie (we wszystkich progach) miała do czynienia z czasami podpisów niezgodnym z ograniczeniami operacyjnymi swoich kierunków. Obwód papierowy obejmował aż 7 uczestników wewnętrznych (instrukcja, wizja prawna, wizja finansowa, podpis prezydenta lub delegowanego wiceprezydenta) przed przesłaniem dostawcy.

Wdrożenie elektronicznego paraferu zintegrowanego z przestrzenią klienta podpisującego umożliwiło konfigurowanie wieloetapowych przepływów pracy z automatycznymi delegacjami w przypadku nieobecności. Średni czas wewnętrznego obwodu spadł z 11 dni do 2,8 dnia. Departament zaobserwował również zmniejszenie o 60% telefonicznych przypomnień skierowanych do departments w celu poznania postępu podpisów. Przestrzeń klienta oferowana zewnętrznym dostawcom pozwala im podpisywać akty zaangażowania bezpośrednio z ich interfejsu, z horodatowanym certyfikatem podpisu automatycznie zarchiwizowanym w departamentalnym SAE.

Scenariusz 3 — Publiczny zakład opieki zdrowotnej zabezpiecza akty HR swoich lekarzy

Grupowanie szpitalne liczące około 1 200 pracowników (w tym 180 lekarzy) zarządzało umowami zaangażowania, zmianami i aktami tymczasowego zatrudnienia drogą pocztową lub wymaganą obecnością fizyczną, generując opóźnienia niezgodne z potrzebami zatrudnienia (zastępstwa w ochronie zdrowia, lekarskie zmiany czasowe).

Wdrożona dla zasobów ludzkich przestrzeń klienta podpisującego umożliwia każdemu lekarzowi lub pracownikowi otrzymywanie, przeglądanie i podpisywanie umowy z bezpiecznego portalu, dostępnego z każdego terminala. Uwierzytelnianie opiera się na FranceConnect+ dla pracowników zatrudnionych i na weryfikacji tożsamości dokumentowej dla pracowników doraźnych. Średni czas wprowadzenia do pracy po ustnej zgodzie spadł z 8 dni (czas przetwarzania papierowego dossier) do mniej niż 24 godzin. Zakład zmniejszył również o 40% błędy kompletności dossier HR dzięki formularzom prowadzonym zintegrowanym w podróż podpisu, zgodnie z rekomendacjami funkcji publicznej szpitali.

Podsumowanie

Utworzenie przestrzeni klienta podpisującego w sektorze publicznym nie jest już opcją: to zobowiązanie regulacyjne zmienia się stopniowo i rosnące oczekiwanie użytkowników i partnerów instytucjonalnych. Podejście opiera się na czterech nierozłącznych filarach — mapowaniu przepływów, wyborze rozwiązania suwerennego i zgodnego z eIDAS, konfiguracji płynnej podróży użytkownika i archiwizacji dowodowej — wspieranej solidnym zarządzaniem i sztywnym wsparciem zmian.

Jednostki samorządu terytorialnego i administracje, które przeszły ten etap, obserwują mierzalne korzyści: czasy podpisów podzielone przez pięć średnio, zmniejszone koszty administracyjne i nienaganna jakość archiwizacji. Certyneo wspiera organizacje publiczne na każdym etapie tego projektu, od audytu początkowego do wdrożenia operacyjnego.

Gotów do tego kroku? Skontaktuj się z naszymi ekspertami Certyneo w celu bezpłatnego audytu Twoich przepływów dokumentów i spersonalizowanej demonstracji dostosowanej do ograniczeń sektora publicznego.