Zobowiązania dostawcy podpisu elektronicznego we Francji

Wprowadzenie

Wdrażanie rozwiązania podpisu elektronicznego we Francji wymaga przygotowania. Za każdym podpisem kwalifikowanym lub zaawansowanym kryje się kilkadziesiąt zobowiązań prawnych spoczyających na dostawcy usług zaufania (PSCo). Rozporządzenie eIDAS, RODO, ogólne ramy bezpieczeństwa, normy ETSI… ramy regulacyjne są zarówno gęste, jak i ewolucyjne. Dla przedsiębiorstw będących użytkownikami zrozumienie tych zobowiązań prawnych dostawcy podpisu elektronicznego Francja eIDAS RODO jest niezbędne, aby wybrać zgodnego partnera i uniknąć jakiegokolwiek ryzyka prawnego. Artykuł ten szczegółowo omawia, sekcja po sekcji, wszystkie wymogi mające zastosowanie do dostawców usług zaufania (PSCo) działających na terenie Francji.

---

Status dostawcy kwalifikowanych usług zaufania

Czym jest dostawca usług zaufania (PSCo) w rozumieniu eIDAS?

Rozporządzenie eIDAS nr 910/2014 rozróżnia dwie kategorie dostawców: dostawcy usług zaufania niekwalifikowani i dostawcy kwalifikowani (PSCQ). Pierwsi mogą oferować usługi podpisu elektronicznego prostego lub zaawansowanego bez obowiązkowego audytu strony trzeciej. Drudzy — jedyni upoważnieni do wystawiania podpisów kwalifikowanych w rozumieniu artykułu 3(15) eIDAS — muszą spełniać znacznie bardziej rygorystyczne wymogi.

We Francji rolę organu nadzoru (« Supervisory Body ») przewidzianego w artykule 17 eIDAS pełni Narodowa Agencja Bezpieczeństwa Systemów Informacyjnych (ANSSI). Publikuje i prowadzi francuską listę zaufania (TSL — Trust Service List), dostępną na jej oficjalnej stronie, która wylicza dostawców kwalifikowanych i ich usługi.

Procedura kwalifikacji: audyt i zgodność

Aby uzyskać status kwalifikowany, dostawca usług zaufania musi obowiązkowo:

• Poddać audytowi swoje usługi przez organem oceny zgodności (CAB — Conformity Assessment Body) akredytowany przez COFRAC zgodnie z normą EN ISO/IEC 17065.

• Złożyć raport z audytu w ANSSI, które podejmuje decyzję w sprawie przyznania statusu kwalifikowanego. Status ten jest ponownie oceniany co najmniej co 24 miesiące (artykuł 20 §1 eIDAS).

• Powiadomić ANSSI o wszelkich istotnych zmianach w swoich usługach w terminie 3 miesięcy przed planowaną zmianą (artykuł 21 eIDAS).

Nieprzestrzeganie tych etapów naraża dostawcę na skreślenie z listy TSL i utratę domniemań prawnych związanych z podpisem kwalifikowanym. Dla przedsiębiorstw klientów korzystanie z dostawcy nieumieszczenego na liście TSL oznacza rezygnację z wszelkich domniemań prawnych dotyczących wiarygodności.

> Aby dowiedzieć się więcej na temat różnych poziomów podpisu i ich skutków prawnych, zapoznaj się z naszym kompleksowym przewodnikiem po rozporządzeniu eIDAS 2.0.

---

Zobowiązania techniczne i bezpieczeństwa dostawcom usług zaufania

Zgodność z normami ETSI

Dostawcy kwalifikowani muszą być w zgodzie ze zbiorem norm europejskich opublikowanych przez Europejski Instytut Norm Telekomunikacyjnych (ETSI). Główne z nich to:

• ETSI EN 319 401: ogólne wymogi bezpieczeństwa mające zastosowanie do wszystkich dostawców usług zaufania.

• ETSI EN 319 411-1 i 411-2: polityki i praktyki organów certyfikacji wydających certyfikaty podpisu kwalifikowanego.

• ETSI EN 319 132: formaty podpisu elektronicznego zaawansowanego (XAdES dla XML, PAdES dla PDF, CAdES dla CMS).

• ETSI EN 319 122: format CAdES dla podpisów kwalifikowanych.

• ETSI TS 119 431: wymogi dla usług tworzenia podpisu na odległość (zdalny QSCD).

Te normy nie są opcjonalne: rozporządzenie eIDAS (Załączniki II, III i IV) wyraźnie się do nich odwołuje, aby określić minimalne wymogi dla certyfikatów kwalifikowanych i urządzeń tworzenia podpisu.

Zarządzanie kwalifikowanymi urządzeniami do tworzenia podpisu (QSCD)

Jednym z filarów podpisu kwalifikowanego jest użycie kwalifikowanego urządzenia do tworzenia podpisu (QSCD — Qualified Signature Creation Device) zgodnego z Załącznikiem II eIDAS. Dostawca musi gwarantować, że:

• Klucz prywatny osoby podpisującej nie może być generowany, przechowywany ani kopiowany poza urządzeniem QSCD.

• Generowanie klucza odbywa się wyłącznie w certyfikowanym środowisku (certyfikacja Common Criteria EAL 4+ lub równoważna).

• Uwierzytelnianie osoby podpisującej poprzedzające każdy akt podpisywania opiera się na co najmniej dwóch czynnikach uwierzytelniania.

W kontekście podpisu na odległość — coraz bardziej rozpowszechnionego w środowiskach SaaS — wymogi te mają zastosowanie do serwera HSM (Hardware Security Module) przechowującego klucze. ANSSI opublikowała specjalne profile ochrony (PP-0075, PP-0076) definiujące kryteria bezpieczeństwa do osiągnięcia.

Polityka ciągłości i powiadomienie o incydentach

Artykuł 19 eIDAS zobowiązuje wszystkich dostawców usług zaufania (kwalifikowanych lub nie) do:

• Powiadomienia organu nadzoru (ANSSI) i w razie potrzeby organu ochrony danych (CNIL), w ciągu 24 godzin od wykrycia naruszenia bezpieczeństwa, które mogłoby wpłynąć na wiarygodność usługi.

• Prowadzenia dokumentu planu ciągłości biznesowej, regularnie testowanego.

• Posiadania sformalizowanej polityki bezpieczeństwa informacji, obejmującej w szczególności zarządzanie ryzykiem, zarządzanie incydentami i politykę tworzenia kopii zapasowych.

Wymogi te częściowo pokrywają się z wymaganiami dyrektywy NIS2 (2022/2555/UE), transponowanej do prawa francuskiego ustawą nr 2023-703 z 1 sierpnia 2023, która klasyfikuje dostawców usług zaufania znaczącej wielkości wśród ważnych lub istotnych podmiotów podlegających wzmocnionym zobowiązaniom w zakresie cyberbezpieczeństwa.

> Dowiedz się, jak podpis elektroniczny dla kancelarii prawnych musi integrować te ograniczenia w swoich przepływach dokumentacyjnych.

---

Zobowiązania specificzne RODO dla dostawców usług zaufania

Dostawca usług zaufania — administrator danych czy procesor?

Kwalifikacja RODO dostawcy zależy od charakteru świadczonej usługi:

• Gdy dostawca usług zaufania wydaje bezpośrednio certyfikaty kwalifikowane w imieniu osoby podpisującej i określa cele przetwarzania danych osobowych (tożsamość, biometryczne dane uwierzytelniania), działa jako administrator danych w rozumieniu artykułu 4(7) RODO.

• Gdy integruje swoje API w platformie klienta B2B i przetwarza dane osobowe wyłącznie zgodnie z instrukcjami tego klienta, pełni rolę procesora danych (artykuł 4(8) RODO) i musi obowiązkowo zawrzeć DPA (Data Processing Agreement — Umowę o Przetwarzaniu Danych) zgodną z artykułem 28 RODO.

W praktyce większość dostawców usług zaufania SaaS łączy obie role: administrator dla zarządzania własną infrastrukturą certyfikacyjną, procesor dla przetwarzania dokumentów i metadanych osób podpisujących.

Zobowiązania specificzne związane z danymi biometrycznymi i identyfikacyjnymi

Identyfikacja i uwierzytelnianie osoby podpisującej — etap obowiązkowy dla wydania certyfikatu kwalifikowanego — często wymaga przetwarzania poufnych danych: skan dokumentu tożsamości, selfie video, dane biometryczne rozpoznawania twarzy. Dane te stanowią dane osobowe podlegające RODO, a nawet dane biometryczne objęte artykułem 9 RODO (kategorie szczególne).

Zobowiązania dostawcy obejmują:

• Podstawę prawną: wyraźną zgodę (artykuł 9§2a) lub w niektórych przypadkach obowiązek ustawowy (artykuł 9§2b) dla przetwarzania danych biometrycznych.

• Ograniczoną długość przechowywania: zgodnie z wytycznymi CNIL dane identyfikacyjne muszą być przechowywane przez czas ściśle konieczny, zazwyczaj wyrównany do okresu ważności certyfikatu + ustawowy okres przechowywania dowodów (często 10 lat dla dokumentów prywatnych, artykuł 2224 Kodeksu cywilnego).

• Ocenę wpływu (AIPD) obowiązkową (artykuł 35 RODO) gdy przetwarzanie może pociągać za sobą ryzyko wysokie — co jest systemowo przypadkiem dla biometrii.

• Rejestr przetwarzania (artykuł 30 RODO) prowadzony na bieżąco i dokumentujący każdą kategorię przetwarzania.

Międzynarodowe transfery danych

Wielu dostawców usług zaufania przechowuje całość lub część swojej infrastruktury poza Europejskim Obszarem Gospodarczym (EOG). W takim przypadku odpowiednie gwarancje wymagane przez rozdział V RODO są obowiązkowe: decyzja o adekwatności, klauzule umowne (SCCs) Komisji Europejskiej lub wiążące przepisy korporacyjne (BCR). Orzeczenie Schrems II (TSUE, C-311/18, 16 lipca 2020) przypomniało, że transfery do Stanów Zjednoczonych wymagają wstępnej analizy ryzyka kraju.

> Aby zrozumieć wpływ tych reguł na Twoją organizację, zapoznaj się z naszym przewodnikiem dotyczącym podpisu elektronicznego w przedsiębiorstwie.

---

Zobowiązania transparentności i informacji wobec użytkowników

Polityka certyfikacji (PC) i Oświadczenie o praktykach certyfikacji (DPC)

Każdy dostawca usług zaufania wydający certyfikaty jest zobowiązany do opublikowania Polityki Certyfikacji (PC) i Oświadczenia o Praktykach Certyfikacji (DPC) zgodnie z normą ETSI EN 319 411. Dokumenty te, swobodnie dostępne, szczegółowo opisują:

• Procedury identyfikacji i rejestracji osób podpisujących.

• Zastosowane fizyczne i logiczne miary bezpieczeństwa.

• Warunki unieważniania certyfikatów i związane z nimi okresy.

• Odpowiedzialność i ograniczenia gwarancji dostawcy usług zaufania.

Brak lub niekompletność tych dokumentów stanowi niezgodność mogącą być zaobserwowaną podczas audytu ponownej kwalifikacji przez akredytowaną jednostkę.

Informacja przedumowna i umowna dla klientów

Poza czysto technicznych zobowiązaniami artykuł 13 RODO zobowiązuje dostawcę usług zaufania do udzielenia każdej osobie, której dane są zbierane, jasnych i dostępnych informacji dotyczących:

• Tożsamości administratora danych i danych kontaktowych inspektora ochrony danych (obowiązkowy dla dostawców usług zaufania przetwarzających na dużą skalę wrażliwe dane, artykuł 37 RODO).

• Celów i podstaw prawnych każdego przetwarzania.

• Praw osób (dostęp, sprostowanie, usunięcie, przenoszalność, sprzeciw).

• Ewentualnych odbiorców danych (procesory, organy władzy).

Informacje te muszą znaleźć się w polityce prywatności usługi, w warunkach ogólnych i ewentualnie w DPA zawartej z klientami profesjonalnymi.

Kwalifikowany znacznik czasu i ścieżka audytu

Aby zagwarantować wartość dowodową podpisów na długi okres, odpowiedzialni dostawcy usług zaufania systematycznie łączą kwalifikowany znacznik czasu elektronicznego (artykuł 42 eIDAS) z każdym podpisanym aktem. Znacznik czasu stanowi dowód prawnie domniemany istnienia danych w wskazanym terminie. Przechowywanie ścieżki audytu (logi identyfikacji, odcisk dokumentu, dane podpisu) jest praktycznym zobowiązaniem umożliwiającą wszelką późniejszą weryfikację sądową.

> Porównaj rozwiązania dostępne na rynku zgodnie z tymi kryteriami w naszym porównaniu rozwiązań podpisu elektronicznego.

---

eIDAS 2.0: nowe zobowiązania na horyzoncie 2026-2027

Rozporządzenie eIDAS 2.0 (UE) 2024/1183

Opublikowane w Dzienniku Urzędowym UE 30 kwietnia 2024, rozporządzenie (UE) 2024/1183 zwane « eIDAS 2.0 » znacznie wzmacnia zobowiązania dostawców usług zaufania wokół trzech osi:

• Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet): Państwa członkowskie muszą udostępnić certyfikowany portfel tożsamości cyfrowej do 2 listopada 2026. Dostawcy usług zaufania będą musieli zintegrować swoją usługę z tym portfelem, aby oferować podpisy kwalifikowane za pośrednictwem tożsamości eIDAS 2.0.

• Zarządzanie zaświadczeniami atrybutów: eIDAS 2.0 wprowadza kwalifikowane zaświadczenia atrybutów (QEAAs), wydawane przez dostawców zaświadczeń kwalifikowanych. Będą mieć zastosowanie nowe procedury audytu i kwalifikacji.

• Wzmocnienie nadzoru: krajowe organy nadzoru (ANSSI dla Francji) otrzymują rozszerzone uprawnienia, w tym zdolność do przeprowadzania kontroli niezapowiedzianych i nakładania wiążących środków naprawczych w skróconych okresach.

Praktyczne implikacje dla obecnych dostawców

Dostawcy usług zaufania już zaświadczeni na mocy eIDAS 1.0 będą musieli przejść etapową adaptację do zgodności przed wyznaczonymi terminarze określonymi w aktach wykonawczych Komisji (opublikowanych lub w trakcie publikacji). Główne adaptacje dotyczą:

• Przebudowy infrastruktury identyfikacji w celu wspierania EUDI Wallet jako środka uwierzytelniania.

• Aktualizacji PC/DPC w celu integracji nowych typów certyfikatów i zaświadczeń.

• Wzmocnienia wymogów bezpieczeństwa dla zdalnych QSCD, z nowymi profilami ochrony w drodze.

Dla przedsiębiorstw będących klientami oznacza to weryfikację już dziś, że ich dostawca ma udokumentowaną i weryfikowalną mapę drogową zgodności eIDAS 2.0.

Ramy prawne mające zastosowanie do zobowiązań dostawców podpisu elektronicznego

Łańcuch norm mających zastosowanie do dostawców podpisu elektronicznego działających we Francji artykułuje się na kilku poziomach hierarchicznych i komplementarnych.

Kodeks cywilny francuski — Artykuły 1366 i 1367

Artykuł 1366 Kodeksu cywilnego признaje dokument elektroniczny jako sposób dowodu równoważny dokumentowi papierowemu, pod warunkiem że « osoba, od której pochodzi, może być prawidłowo zidentyfikowana i że dokument został sporządzony i przechowywany w warunkach gwarantujących jego niezmienność ». Artykuł 1367 precyzuje, że podpis elektroniczny « polega na użyciu niezawodnego procesu identyfikacji gwarantującego jego związek z aktem, do którego się odnosi ». Domniemanie wiarygodności przysługuje podpisom kwalifikowanym w rozumieniu eIDAS, odwracając ciężar dowodu na korzyść osoby podpisującej.

Rozporządzenie eIDAS nr 910/2014/UE

To rozporządzenie, mające bezpośrednie zastosowanie we wszystkich Państwach Członkowskich, ustanawia ramy prawne usług zaufania. Jego artykuł 26 definiuje warunki podpisu elektronicznego zaawansowanego; artykuł 28 wymogi certyfikatów kwalifikowanych; jego Załącznik I szczegółowo określa obowiązkową zawartość tych certyfikatów. Dostawcy usług zaufania kwalifikowani korzystają z domniemania zgodności z wymogami technicznymi i prawnymi rozporządzenia (artykuł 19§2), co stanowi istotną zaletę w przypadku sporu.

Rozporządzenie eIDAS 2.0 — (UE) 2024/1183

Opublikowane 30 kwietnia 2024, to rozporządzenie zmieniające wprowadza nowe kategorie usług zaufania (kwalifikowane zaświadczenia atrybutów, kwalifikowane usługi archiwizacji) i wzmacnia zobowiązania nadzoru. Uchyla i częściowo zastępuje rozporządzenie 910/2014, ze stopniowym zastosowaniem według aktów wykonawczych Komisji Europejskiej.

RODO — Rozporządzenie (UE) 2016/679

RODO ma zastosowanie do każdego przetwarzania danych osobowych realizowanego w ramach usługi podpisu elektronicznego. Artykuły 5 (zasady legalności), 6 (podstawa prawna), 9 (dane wrażliwe), 13-14 (informacja), 28 (przetwarzanie na zlecenie), 32 (bezpieczeństwo), 33-34 (powiadomienie o naruszeniu), 35 (AIPD) i 37 (inspektor ochrony danych) stanowią przepisy najczęściej mające zastosowanie. CNIL jest właściwym organem kontrolnym we Francji i może nakładać grzywny do 20 milionów euro lub 4% rocznego światowego obrotu (artykuł 83§5 RODO).

Dyrektywa NIS2 — (UE) 2022/2555

Transponowana do prawa francuskiego ustawą nr 2023-703 z 1 sierpnia 2023, NIS2 klasyfikuje dostawców usług zaufania znaczącej wielkości wśród podmiotów ważnych lub istotnych podlegających zobowiązaniom zarządzania ryzykiem cyber i powiadamiania incydentów ANSSI w ciągu 24 godzin (wczesne ostrzeżenie), a następnie 72 godzin (pełne powiadomienie).

Normy ETSI

Zbiór norm EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 i TS 119 431 stanowi obowiązkowe odniesienie techniczne dla audytu kwalifikacji. Ich nieprzestrzeganie prowadzi do niemożności uzyskania lub utrzymania statusu kwalifikowanego.

Ryzyka prawne w przypadku niezgodności

Dostawca niezgodny narażony jest na: skreślenie z francuskiej listy TSL, uruchomienie jego odpowiedzialności umownej i pozaumownej, sankcje administracyjne CNIL, grzywny NIS2 mogące sięgać 10 milionów euro lub 2% światowego obrotu dla podmiotów ważnych i 20 milionów lub 4% obrotu dla podmiotów istotnych, a także na powództwa klientów, którzy ponieśli szkodę z powodu niedoważnych podpisów.

Scenariusze użytkowania: jak przedsiębiorstwa weryfikują zgodność swojego dostawcy

Scenariusz 1 — Grupa przemysłowa zarządzająca 3 000 kontraktami dostawców rocznie

Grupa przemysłowa średniej wielkości (ETI), działająca w produkcji urządzeń mechanicznych, dematerializuje wszystkie swoje umowy dostawców za pośrednictwem platformy SaaS podpisu elektronicznego. Podczas audytu wewnętrznego uruchomionego po ewolucji regulacyjnej dział prawny stwierdza, że wybrany dostawca — początkowo wybrany na podstawie kryterium ceny — jest umieszczony ani na liście TSL Francji, ani na żadnej liście TSL europejskiej. Wydane podpisy są typu « prosty » bez mechanizmu solidnego identyfikowania osoby podpisującej.

Wobec ryzyka prawnego — wartość dowodowa wszystkich podpisanych umów mogłaby być kwestionowana w przypadku sporu — przedsiębiorstwo inicjuje migrację do dostawcy usług zaufania kwalifikowanego ANSSI. Nowe rozwiązanie integruje podpis zaawansowany z certyfikatem kwalifikowanym, kwalifikowany znacznik czasu i eksportowalną ścieżkę audytu. Projekt migracji, realizowany w mniej niż 8 tygodni, pozwala na retrospektywne zabezpieczenie nowych aktów i ustanowienie zgodnej polityki dokumentacyjnej. Zespoły prawne oceniają, że ryzyko sporu związane ze starymi umowami pozostaje marginalne ze względu na ich realizację bez sprzeciwu, ale każdy nowy podpis jest już pokryty.

Obserwowane korzyści: zmniejszenie o 60% potencjalnych sporów związanych z autentycznością podpisów i zysk średnio 3,5 dnia w procesie podpisywania umów złożonych dzięki automatyzacji przepływu walidacji.

Scenariusz 2 — Kancelaria adwokacka 25 współpracowników specjalizująca się w prawie gospodarczym

Kancelaria adwokacka chcąca zdigitalizować podpisanie mandatów, konsultacji i pism procesowych ocenia kilku dostawców. Jej karta analityczna integruje następujące kryteria: obecność na liście TSL, publikacja dostępnej PC/DPC, istnienie zgodnego RODO DPA, dostępność osiągalnego inspektora ochrony danych i certyfikacja zdalnych QSCD.

Spośród pięciu ocenionych dostawców, zaledwie dwóch spełnia wszystkie kryteria. Kancelaria ostatecznie wybiera dostawcę usług zaufania oferujący natywnie podpis kwalifikowany za pośrednictwem zdalnego QSCD, gwarantujący domniemanie wiarygodności artykułu 1367 Kodeksu cywilnego. Wdrażanie zajmuje 3 tygodnie, szkolenie włączone. Rezultat: 75% mandatów jest teraz podpisywanych w mniej niż 24 godziny wobec 5 do 7 dni wcześniej (przesyłka pocztowa), a kancelaria może usprawiedliwić dla swoich klientów poziom bezpieczeństwa prawnego oferowanego przez rozwiązanie — argument różnicujący w jego propozycjach handlowych.

Scenariusz 3 — Szpitalne zgrupowanie około 1 200 łóżek

Szpitalne zgrupowanie publiczne chce dematerializować umowy o pracę, konwencje stażu i umowy partnerskie z partnerskimi placówkami opieki zdrowotnej. Wrażliwość przetwarzanych danych (dane zdrowotne pracowników medycznych, dane HR) wymaga szczególnej ostrożności w związku z zobowiązaniami RODO dostawcy usług zaufania.

Dział IT i inspektor ochrony danych instytucji wymagają: przechowywania danych we Francji u certyfikowanego dostawcy danych zdrowotnych HDS (Hébergeur de Données de Santé, certyfikacja przewidziana w artykule L.1111-8 Kodeksu zdrowotnego), brak transferu poza EOG, udokumentowana AIPD dla przetwarzania identyfikacji osób podpisujących, i podpisana DPA przed każdym wdrożeniem produkcyjnym.

Po wyborze dostawcy usług zaufania spełniającego te kryteria wdrażanie obejmuje w pierwszej kolejności umowy HR (około 800 aktów rocznie). Średni czas podpisywania umów na czas określony spada z 9 dni na poniżej 48 godzin, uwalniając znaczną pojemność dla zespołów zasobów ludzkich. Instytucja dysponuje dodatkowo pełną traceabilnością zebranych zgód, auditowaną rocznie przez swojego inspektora ochrony danych.

Podsumowanie

Zobowiązania prawne ciążące na dostawcach podpisu elektronicznego we Francji tworzą rygorystyczny corpus normatywny: kwalifikacja eIDAS, zgodność z RODO, przestrzeganie norm ETSI, zobowiązania NIS2 i wymuszona adaptacja do eIDAS 2.0. Dla przedsiębiorstw będących użytkownikami zapewnienie zgodności swojego dostawcy usług zaufania nie jest opcjonalnym podejściem — to warunek sine qua non wartości dowodowej podpisanych aktów i ochrony danych osobowych osób podpisujących.

Certyneo jest dostawcą podpisu elektronicznego zaprojektowanym do spełnienia wszystkich tych wymogów: zgodność eIDAS, RODO by design, suwerenny hosting i udokumentowana mapa drogowa eIDAS 2.0. Gotów do zabezpieczenia swoich podpisów w pełnej zgodności? Poproś o demonstrację lub utwórz swoje konto w Certyneo i skorzystaj z personalizowanego wsparcia od pierwszego dnia.