Zobowiązania prestatora podpisu elektronicznego we Francji

Wstęp

Wdrażanie rozwiązania do podpisu elektronicznego we Francji nie jest improwizacją. Za każdym kwalifikowanym lub zaawansowanym podpisem kryje się dziesiątki zobowiązań prawnych przypadających prestatorowi usług zaufania (PSCo). Rozporządzenie eIDAS, RODO, ogólne ramy bezpieczeństwa, normy ETSI… ramy regulacyjne są zarówno gęste, jak i ewoluujące. Dla przedsiębiorstw użytkowników zrozumienie zobowiązań prawnych prestatora podpisu elektronicznego we Francji eIDAS RODO jest niezbędne w celu wyboru zgodnego partnera i uniknięcia ryzyka prawnego. Niniejszy artykuł szczegółowo opisuje, sekcja po sekcji, wszystkie wymagania stosowane do PSCo operujących na terenie francuskim.

---

Status prestatora kwalifikowanych usług zaufania

Czym jest PSCo w świetle eIDAS?

Rozporządzenie eIDAS nr 910/2014 rozróżnia dwie kategorie prestatorów: prestatorów niekwalifikowanych usług zaufania oraz prestatorów kwalifikowanych (PSCQ). Pierwsze mogą oferować usługi prostego lub zaawansowanego podpisu elektronicznego bez obowiązkowego audytu strony trzeciej. Drugie — jedynie upoważnione do wydawania podpisów kwalifikowanych w rozumieniu artykułu 3(15) eIDAS — muszą spełniać znacznie bardziej surowe wymagania.

We Francji to Agencja Bezpieczeństwa Systemów Informatycznych (ANSSI) pełni rolę organu nadzoru (Supervisory Body) przewidzianego w artykule 17 eIDAS. Publikuje i utrzymuje francuską listę zaufania (TSL — Trust Service List), dostępną na swojej stronie internetowej, zawierającą kwalifikowanych prestatorów i ich usługi.

Procedura kwalifikacji: audyt i zgodność

Aby uzyskać status kwalifikowany, PSCo musi obowiązkowo:

• Przeprowadzić audyt swoich usług przez akredytowany przez COFRAC organ oceny zgodności (CAB — Conformity Assessment Body) zgodnie z normą EN ISO/IEC 17065.

• Złożyć raport z audytu w ANSSI, które wydaje opinię na temat przyznania statusu kwalifikowanego. Status ten jest ponownie oceniany co najmniej co 24 miesiące (artykuł 20 §1 eIDAS).

• Powiadomić ANSSI o wszelkich istotnych zmianach w swoich usługach w ciągu 3 miesięcy przed planowaną zmianą (artykuł 21 eIDAS).

Nieprzestrzeganie tych kroków narażywa prestatora na usunięcie z TSL i utratę domniemań prawnych związanych z podpisem kwalifikowanym. Dla przedsiębiorstw klientów korzystanie z PSCo niewidocznego na TSL oznacza brak korzyści z jakiegokolwiek domniemania prawnego wiarygodności.

> Aby dowiedzieć się więcej o różnych poziomach podpisu i ich skutkach prawnych, zapoznaj się z naszą publikacją.

---

Zobowiązania techniczne i bezpieczeństwa nałożone na PSCo

Zgodność z normami ETSI

Prestarzy kwalifikowani muszą spełniać zestaw europejskich norm publikowanych przez Europejski Instytut Standardów Telekomunikacyjnych (ETSI). Główne to:

• ETSI EN 319 401: ogólne wymogi bezpieczeństwa mające zastosowanie do wszystkich PSCo.

• ETSI EN 319 411-1 i 411-2: polityki i praktyki władz certyfikujących wydające certyfikaty do kwalifikowanego podpisu.

• ETSI EN 319 132: formaty zaawansowanego podpisu elektronicznego (XAdES dla XML, PAdES dla PDF, CAdES dla CMS).

• ETSI EN 319 122: format CAdES dla podpisów kwalifikowanych.

• ETSI TS 119 431: wymagania dla usług zdalnego tworzenia podpisu (zdalny QSCD).

Te normy nie są opcjonalne: rozporządzenie eIDAS (Załącznik II, III i IV) jawnie do nich się odwołuje w celu zdefiniowania minimalnych wymagań dla certyfikatów kwalifikowanych i urządzeń do tworzenia podpisu.

Zarządzanie bezpiecznymi urządzeniami do tworzenia podpisu (QSCD)

Jednym z filarów podpisu kwalifikowanego jest użycie bezpiecznego urządzenia do tworzenia podpisu (QSCD — Qualified Signature Creation Device) zgodnego z Załącznikiem II eIDAS. Prestarzy muszą zapewnić, że:

• Klucz prywatny podpisującego nie może być generowany, przechowywany ani kopiowany poza QSCD.

• Generowanie klucza odbywa się wyłącznie w certyfikowanym środowisku (certyfikacja Common Criteria EAL 4+ lub równoważna).

• Uwierzytelnianie podpisującego poprzedzające każdy akt podpisu opiera się na co najmniej dwóch czynnikach uwierzytelniania.

W kontekście podpisu zdalnego — coraz bardziej rozpowszechnionego w środowiskach SaaS — wymagania te mają zastosowanie do serwera HSM (Hardware Security Module) przechowującego klucze. ANSSI opublikowała specjalne profile ochrony (PP-0075, PP-0076) definiujące kryteria bezpieczeństwa do osiągnięcia.

Polityka ciągłości i powiadamiania o incydentach

Artykuł 19 eIDAS nakłada na każdego prestatora usług zaufania (kwalifikowanego lub nie) obowiązek:

• Powiadomienia organu nadzoru (ANSSI) i w stosownych przypadkach organu ochrony danych (CNIL) w ciągu 24 godzin od wykrycia naruszenia bezpieczeństwa, które mogłoby mieć wpływ na wiarygodność usługi.

• Utrzymywania udokumentowanego i regularnie testowanego planu ciągłości biznesu.

• Posiadania sformalizowanej polityki bezpieczeństwa informacji, obejmującej w szczególności zarządzanie ryzykiem, zarządzanie incydentami i politykę tworzenia kopii zapasowych.

Wymagania te częściowo pokrywają się z wymaganiami dyrektywy NIS2 (2022/2555/UE), wdrożonej do prawa francuskiego na mocy ustawy nr 2023-703 z 1 sierpnia 2023, która klasyfikuje PSCo o znaczącej wielkości wśród podmiotów ważnych lub niezbędnych podlegających wzmocnionym zobowiązaniom dotyczącym cyberbezpieczeństwa.

> Odkryj, jak organizacje muszą zintegrować te ograniczenia w swoich przepływach pracy dokumentów.

---

Zobowiązania RODO specyficzne dla PSCo

PSCo, administrator czy operator?

Kwalifikacja RODO prestatora zależy od charakteru świadczonej usługi:

• Gdy PSCo bezpośrednio wydaje certyfikaty kwalifikowane w imieniu podpisującego i określa cele przetwarzania danych osobowych (tożsamość, biometryczne dane uwierzytelniające), działa jako administrator danych w rozumieniu artykułu 4(7) RODO.

• Gdy integruje swoje API na platformę klienta B2B i przetwarza dane osobowe wyłącznie na podstawie instrukcji tego klienta, pełni rolę operatora (artykuł 4(8) RODO) i musi obowiązkowo zawrzeć DPA (Data Processing Agreement) zgodny z artykułem 28 RODO.

W praktyce większość PSCo SaaS łączy obie kwalifikacje: administrator do zarządzania własną infrastrukturą certyfikacji, operator do przetwarzania dokumentów i metadanych podpisujących.

Zobowiązania specyficzne związane z danymi biometrycznymi i tożsamością

Identyfikacja i uwierzytelnianie podpisującego — etap obowiązkowy do wydania certyfikatu kwalifikowanego — często wymaga przetwarzania danych wrażliwych: skan dokumentu tożsamości, selfie wideo, dane biometryczne rozpoznawania twarzy. Te dane stanowią dane osobowe podlegające RODO, a nawet dane biometryczne objęte artykułem 9 RODO (kategorie szczególne).

Zobowiązania PSCo obejmują:

• Podstawę prawną: wyraźną zgodę (artykuł 9§2a) lub w niektórych przypadkach obowiązek prawny (artykuł 9§2b) do przetwarzania danych biometrycznych.

• Ograniczoną okres przechowywania: zgodnie z wytycznymi CNIL dane identyfikacyjne muszą być przechowywane wyłącznie przez czas niezbędny, zwykle dostosowany do okresu ważności certyfikatu + okres ustawowy dowodu (często 10 lat dla aktów pod prywatnymi rękoma, artykuł 2224 Kodeksu Cywilnego).

• Obowiązkową analizę wpływu (AIPD) (artykuł 35 RODO), jeśli przetwarzanie może spowodować wysokie ryzyko — co systematycznie ma miejsce w przypadku biometrii.

• Rejestr przetwarzania (artykuł 30 RODO) utrzymywany na bieżąco i dokumentujący każdą kategorię przetwarzania.

Międzynarodowe transfery danych

Wielu prestatorów PSCo przechowuje całość lub część swojej infrastruktury poza Europejskim Obszarem Gospodarczym (EEA). W takim wypadku obowiązują odpowiednie gwarancje wymagane przez rozdział V RODO: decyzja o adekwatności, standardowe klauzule umowne (SCCs) Komisji Europejskiej lub wiążące reguły korporacyjne (BCR). Wyrok Schrems II (TSUE, C-311/18, 16 lipca 2020) przypomniał, że transfery do Stanów Zjednoczonych wymagają wcześniejszej analizy ryzyka kraju.

> Aby zrozumieć wpływ tych reguł na organizację, zapoznaj się z naszą publikacją.

---

Zobowiązania przejrzystości i informacyjne wobec użytkowników

Polityka certyfikacji (PC) i deklaracja praktyk certyfikacyjnych (DPC)

Każdy PSCo wydający certyfikaty musi opublikować Politykę Certyfikacji (PC) i Deklarację Praktyk Certyfikacyjnych (DPC), zgodnie z normą ETSI EN 319 411. Te dostępne publicznie dokumenty szczegółowo opisują:

• Procedury identyfikacji i rejestracji podpisujących.

• Wdrażane fizyczne i logiczne miary bezpieczeństwa.

• Warunki unieważnienia certyfikatów i związane z nimi terminy.

• Odpowiedzialność i ograniczenia gwarancji PSCo.

Brak lub niekompletność tych dokumentów stanowi niezgodność, którą można wyjaśnić podczas audytu ponownej kwalifikacji przez akredytowany organ.

Informacja przedumowna i umowna dla klientów

Poza czystymi zobowiązaniami technicznymi artykuł 13 RODO nakłada na PSCo obowiązek dostarczenia każdej osobie, której dane są zbierane, jasną i dostępną informację na temat:

• Tożsamości administratora danych i danych kontaktowych DPO (obowiązkowe dla PSCo przetwarzających na dużą skalę dane wrażliwe, artykuł 37 RODO).

• Celów i podstaw prawnych każdego przetwarzania.

• Praw osób (dostęp, sprostowanie, usunięcie, przenośność, sprzeciw).

• Ewentualnych odbiorców danych (operatorów, organów).

Te informacje muszą się znaleźć w polityce prywatności usługi, warunkach ogólnych i w stosownych przypadkach w DPA zawartej z klientami biznesowymi.

Kwalifikowany znacznik czasu i ścieżka audytu

Aby zagwarantować długoterminową wartość dowodową podpisów, poważni PSCo systematycznie łączą każdy podpisany dokument z kwalifikowanym znacznikiem czasu elektronicznego (artykuł 42 eIDAS). Ten znacznik stanowi prawnie domniemaną przesłankę istnienia danych na wskazaną datę. Przechowywanie ścieżki audytu (logi identyfikacji, odcisk dokumentu, dane podpisu) jest faktycznym zobowiązaniem umożliwiającym wszelką przyszłą weryfikację sądową.

> Porównaj rozwiązania rynkowe zgodnie z tymi kryteriami w naszej publikacji.

---

eIDAS 2.0: nowe zobowiązania na horyzoncie 2026-2027

Rozporządzenie eIDAS 2.0 (UE) 2024/1183

Opublikowane w Dzienniku Urzędowym UE 30 kwietnia 2024, rozporządzenie (UE) 2024/1183 zwane „eIDAS 2.0" znacznie wzmacnia zobowiązania PSCo wokół trzech osi:

• Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet): państwa członkowskie muszą udostępnić certyfikowany portfel tożsamości cyfrowej do 2 listopada 2026. PSCo będą musieli zintegrować swoją usługę z tym portfelem, aby oferować kwalifikowane podpisy poprzez tożsamość eIDAS 2.0.

• Zarządzanie zaświadczeniami atrybutów: eIDAS 2.0 wprowadza kwalifikowane zaświadczenia atrybutów (QEAAs), wydawane przez kwalifikowanych prestatorów zaświadczenia. Będą obowiązywać nowe procedury audytu i kwalifikacji.

• Wzmocnienie nadzoru: narodowe organy nadzoru (ANSSI dla Francji) mają rozszerzone uprawnienia, w szczególności możliwość prowadzenia kontroli niespodziewanych i nakładania wiążących środków naprawczych w skróconych terminach.

Praktyczne implikacje dla obecnych prestatorów

PSCo już kwalifikowani w ramach eIDAS 1.0 będą musieli stopniowo dostosować się do wymogów przed wyznaczonymi terminami zawartymi w aktach wykonawczych Komisji (opublikowanych lub będących w trakcie publikacji). Główne zmiany dotyczą:

• Przebudowy infrastruktury identyfikacji w celu obsługi EUDI Wallet jako środka uwierzytelniającego.

• Aktualizacji PC/DPC w celu integracji nowych typologií certyfikatów i zaświadczeń.

• Wzmocnienia wymagań bezpieczeństwa dla zdalnych QSCD, z nowymi profilami ochrony, które się pojawią.

Dla przedsiębiorstw klientów oznacza to weryfikację już dzisiaj, że ich prestarzy mają udokumentowaną i weryfikowalną ścieżkę zgodności eIDAS 2.0.

Ramy prawne obowiązkowe dla prestatorów podpisu elektronicznego

Łańcuch normatywny obowiązkowy dla prestatorów podpisu elektronicznego operujących we Francji opiera się na kilku komplementarnych poziomach hierarchicznych.

Kodeks Cywilny Francji — Artykuły 1366 i 1367

Artykuł 1366 Kodeksu Cywilnego uznaje dokument elektroniczny za równoważny papieru, pod warunkiem, że „osoba, od której pochodzi, może być właściwie zidentyfikowana i że jest sporządzony i przechowywany w warunkach gwarantujących jego integralność". Artykuł 1367 wyjaśnia, że podpis elektroniczny „polega na użyciu wiarygodnego procesu identyfikacji gwarantującego jego związek z aktem, do którego się przyłącza". Presunkcja wiarygodności przysługuje podpisom kwalifikowanym w rozumieniu eIDAS, odwracając brzemię dowodu na korzyść podpisującego.

Rozporządzenie eIDAS nr 910/2014/UE

To rozporządzenie o bezpośrednim zastosowaniu we wszystkich państwach członkowskich ustanawia ramy prawne dla usług zaufania. Jego artykuł 26 definiuje warunki zaawansowanego podpisu elektronicznego; artykuł 28 wymogi certyfikatów kwalifikowanych; jego Załącznik I szczegółowo określa obowiązkową zawartość tych certyfikatów. Kwalifikowani PSCo korzystają z presunkcji zgodności z wymaganiami technicznymi i prawnymi rozporządzenia (artykuł 19§2), co stanowi znaczną zaletę w przypadku sporu.

Rozporządzenie eIDAS 2.0 — (UE) 2024/1183

Opublikowane 30 kwietnia 2024, to rozporządzenie zmienną wprowadza nowe kategorie usług zaufania (kwalifikowane zaświadczenia atrybutów, kwalifikowane usługi archiwizacji) i wzmacnia zobowiązania nadzoru. Uchyla i częściowo zastępuje rozporządzenie 910/2014, z stopniową aplikowalnością zgodnie z aktami wykonawczymi Komisji Europejskiej.

RODO — Rozporządzenie (UE) 2016/679

RODO ma zastosowanie do wszelkiego przetwarzania danych osobowych realizowanego w ramach usługi podpisu elektronicznego. Artykuły 5 (zasady legalności), 6 (podstawa prawna), 9 (dane wrażliwe), 13-14 (informacja), 28 (operator), 32 (bezpieczeństwo), 33-34 (powiadamianie o naruszeniu), 35 (AIPD) i 37 (DPO) stanowią najczęściej stosowane przepisy. CNIL jest właściwym organem kontrolnym we Francji i może nałożyć kary do 20 milionów euro lub 4% rocznych obrotów na całym świecie (artykuł 83§5 RODO).

Dyrektywa NIS2 — (UE) 2022/2555

Wdrożona do prawa francuskiego na mocy ustawy nr 2023-703 z 1 sierpnia 2023, NIS2 klasyfikuje znaczących PSCo wśród podmiotów ważnych lub niezbędnych podlegających zobowiązaniom zarządzania ryzykiem cyber i powiadomienia ANSSI o incydentach w ciągu 24 godzin (wczesne ostrzeżenie), następnie 72 godzin (pełne powiadomienie).

Normy ETSI

Zbiór norm EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 i TS 119 431 stanowi obowiązkowe odniesienie techniczne do audytu kwalifikacji. Nieprzestrzeganie ich uniemożliwia uzyskanie lub utrzymanie statusu kwalifikowanego.

Ryzyka prawne w przypadku niezgodności

Niezgodny prestawy narażony jest na: usunięcie z francuskiej TSL, odpowiedzialność umowną i pozaumowną, sankcje administracyjne CNIL, kary NIS2 mogące sięgnąć 10 milionów euro lub 2% światowych obrotów dla podmiotów ważnych i 20 milionów lub 4% CA dla podmiotów niezbędnych, a także na powództwa klientów, którzy ponieśli stratę z powodu nieważnych podpisów.

Scenariusze użycia: jak przedsiębiorstwa weryfikują zgodność PSCo

Scenariusz 1 — Grupa przemysłowa zarządzająca 3 000 kontraktami dostawców rocznie

Grupa przemysłowa średniej wielkości (ETI), aktywna w produkcji urządzeń mechanicznych, demateriazuje wszystkie swoje kontrakty z dostawcami poprzez platformę SaaS do podpisu elektronicznego. Podczas audytu wewnętrznego uruchomionego po zmianach regulacyjnych, dział prawny stwierdza, że wybrany prestawy — początkowo wybrany ze względu na cenę — nie jest wymieniony ani na TSL Francji, ani na żadnej TSL europejskiej. Wydawane podpisy są typu „prosty" bez solidnego mechanizmu identyfikacji podpisującego.

Wobec ryzyka prawnego — całość podpisanych kontraktów mogłaby mieć ich wartość dowodową zakwestionowaną w przypadku sporu — przedsiębiorstwo angażuje migrację do kwalifikowanego PSCo ANSSI. Nowe rozwiązanie integruje podpis zaawansowany z certyfikatem kwalifikowanym, kwalifikowanym znacznikiem czasu i eksportowalną ścieżką audytu. Projekt migracji, realizowany w mniej niż 8 tygodni, umożliwia wsteczne zabezpieczenie nowych aktów i ustanowienie zgodnej polityki dokumentacyjnej. Zespoły prawne oceniają, że ryzyko sporu dotyczące starych kontraktów pozostaje marginalne ze względu na ich wykonywanie bez sprzeciwu, ale każdy nowy podpis jest teraz objęty.

Obserwowane korzyści: redukcja 60% potencjalnych sporów dotyczących autentyczności podpisów i oszczędność średnio 3,5 dnia terminu podpisu w przypadku złożonych kontraktów dzięki automatyzacji przepływu pracy walidacji.

Scenariusz 2 — Kancelaria prawnicza 25 pracowników specjalizująca się w prawie handlowym

Kancelaria prawnicza zamierzająca zdigitalizować podpisywanie pełnomocnictw, opinii i pism procesowych ocenia kilku prestatorów. Jej matryca analityczna obejmuje następujące kryteria: obecność na TSL, publikacja dostępnej PC/DPC, istnienie RODO-zgodnego DPA, dostępność kontaktowego DPO oraz certyfikacja zdalnych QSCD.

Z pięciu ocenianych prestatorów tylko dwaj spełniają wszystkie kryteria. Kancelaria ostatecznie wybiera PSCo oferujący natywnie podpis kwalifikowany poprzez zdalny QSCD, gwarantujący presunkcję wiarygodności artykułu 1367 Kodeksu Cywilnego. Wdrażanie trwa 3 tygodnie, łącznie ze szkoleniem. Wynik: 75% pełnomocnictw jest teraz podpisywanych poniżej 24 godzin w porównaniu z 5-7 dni wcześniej (wysyłka pocztą), a kancelaria może uzasadnić swoim klientom poziom bezpieczeństwa prawnego oferowany przez rozwiązanie — argument różnicujący w jej propozycjach handlowych.

Scenariusz 3 — Szpitalny grupowy o około 1 200 łóżkach

Szpitalny grupowy sektor publiczny zamierza demateriazować umowy pracy, umowy staży i porozumienia partnerskie z partnerskimi placówkami opieki zdrowotnej. Wrażliwość przetwarzanych danych (dane zdrowotne personelu medycznego, dane HR) nakłada szczególną czujność na zobowiązania RODO PSCo.

DSI i DPO establiszmentu wymagają: przechowywania danych we Francji u certyfikowanego dostawcy danych zdrowotnych HDS (Hébergeur de Données de Santé, certyfikacja przewidziana artykułem L.1111-8 Kodeksu Zdrowia Publicznego), braku transferu poza EEA, udokumentowaną AIPD do przetwarzania identyfikacji podpisujących i podpisanego DPA przed każdym wdrożeniem.

Po wyborze PSCo spełniającego te kryteria, wdrożenie obejmuje priorytetowo kontrakty HR (około 800 aktów rocznie). Średni czas podpisania kontraktów na czas określony zmienia się z 9 dni na mniej niż 48 godzin, zwalniając znaczną pojemność dla zespołów zasobów ludzkich. Establiszment posiada ponadto pełną ścieżowość udzielonych zgód, audytowaną rocznie przez jej DPO.

Wnioski

Zobowiązania prawne leżące na prestatorach podpisu elektronicznego we Francji tworzą wymagający corpus normatywny: kwalifikacja eIDAS, zgodność RODO, przestrzeganie norm ETSI, zobowiązania NIS2 i zbliżające się dostosowanie do eIDAS 2.0. Dla przedsiębiorstw użytkowników zapewnienie zgodności PSCo nie jest działaniem opcjonalnym — to warunek sine qua non wartości dowodowej podpisanych aktów i ochrony danych osobowych podpisujących.

Certyneo jest prestatorą podpisu elektronicznego zaprojektowanym w celu spełnienia wszystkich tych wymagań: zgodność eIDAS, RODO by design, suwerenny hosting i udokumentowana ścieżka eIDAS 2.0. Gotów zabezpieczyć swoje podpisy w pełnej zgodności? i korzystaj z spersonalizowanego wsparcia od pierwszego dnia.