Obrigações do Prestador de Assinatura Eletrônica na França

Introdução

Implantar uma solução de assinatura eletrônica na França não é improvisado. Por trás de cada assinatura qualificada ou avançada existem dezenas de obrigações legais que recaem sobre o prestador de serviços de confiança (PSCo). Regulamento eIDAS, RGPD, referencial geral de segurança, normas ETSI… o marco regulatório é ao mesmo tempo denso e evolutivo. Para as empresas usuárias, compreender essas obrigações legais prestador assinatura eletrônica França eIDAS RGPD é indispensável para escolher um parceiro em conformidade e evitar qualquer risco jurídico. Este artigo detalha, seção por seção, o conjunto de exigências aplicáveis aos PSCo operando no território francês.

---

O status de prestador de serviços de confiança qualificado

O que é um PSCo no sentido de eIDAS?

O regulamento eIDAS n° 910/2014 distingue duas categorias de prestadores: os prestadores de serviços de confiança não qualificados e os prestadores qualificados (PSCQ). Os primeiros podem oferecer serviços de assinatura eletrônica simples ou avançada sem auditoria terceirizada obrigatória. Os segundos — únicos autorizados a entregar assinaturas qualificadas no sentido do artigo 3(15) de eIDAS — devem atender a exigências consideravelmente mais rigorosas.

Na França, é a Agência Nacional de Segurança de Sistemas de Informação (ANSSI) que desempenha o papel de autoridade de supervisão ("Supervisory Body") previsto pelo artigo 17 de eIDAS. Ela publica e mantém a lista de confiança francesa (TSL — Trust Service List), acessível em seu site oficial, listando prestadores qualificados e seus serviços.

O procedimento de qualificação: auditoria e conformidade

Para obter o status qualificado, um PSCo deve obrigatoriamente:

• Fazer auditar seus serviços por um organismo de avaliação de conformidade (CAB — Conformity Assessment Body) acreditado pelo COFRAC de acordo com a norma EN ISO/IEC 17065.

• Submeter o relatório de auditoria à ANSSI, que decide sobre a concessão do status qualificado. Este status é reavaliado no mínimo a cada 24 meses (artigo 20 §1 eIDAS).

• Notificar a ANSSI de qualquer mudança substancial em seus serviços dentro de 3 meses antes da modificação prevista (artigo 21 eIDAS).

O não cumprimento dessas etapas expõe o prestador a exclusão da TSL e perda das presunções jurídicas anexadas à assinatura qualificada. Para as empresas clientes, recorrer a um PSCo não listado na TSL é equivalente a não se beneficiar de nenhuma presunção legal de confiabilidade.

> Para saber mais sobre os diferentes níveis de assinatura e seus efeitos jurídicos, consulte nossa documentação.

---

Obrigações técnicas e de segurança impostas aos PSCo

Conformidade com normas ETSI

Os prestadores qualificados devem cumprir um conjunto de normas europeias publicadas pelo European Telecommunications Standards Institute (ETSI). As principais são:

• ETSI EN 319 401: exigências gerais de segurança aplicáveis a todos os PSCo.

• ETSI EN 319 411-1 e 411-2: políticas e práticas de autoridades de certificação que entregam certificados de assinatura qualificada.

• ETSI EN 319 132: formatos de assinatura eletrônica avançada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122: formato CAdES para assinaturas qualificadas.

• ETSI TS 119 431: exigências para serviços de criação de assinatura à distância (QSCD remoto).

Essas normas não são opcionais: o regulamento eIDAS (Anexos II, III e IV) a elas se refere explicitamente para definir os requisitos mínimos dos certificados qualificados e dos dispositivos de criação de assinatura.

Gestão de dispositivos seguros de criação de assinatura (QSCD)

Um dos pilares da assinatura qualificada é o uso de um dispositivo seguro de criação de assinatura (QSCD — Qualified Signature Creation Device) em conformidade com o Anexo II de eIDAS. O prestador deve garantir que:

• A chave privada do signatário não pode ser gerada, armazenada ou copiada fora do QSCD.

• A geração da chave ocorre exclusivamente em um ambiente certificado (certificação Common Criteria EAL 4+ ou equivalente).

• A autenticação do signatário que precede todo ato de assinatura é baseada em pelo menos dois fatores de autenticação.

Em um contexto de assinatura remota — cada vez mais comum em ambientes SaaS — essas exigências se aplicam ao servidor HSM (Hardware Security Module) que hospeda as chaves. A ANSSI publicou perfis de proteção específicos (PP-0075, PP-0076) definindo os critérios de segurança a serem alcançados.

Política de continuidade e notificação de incidentes

O artigo 19 de eIDAS impõe a todo prestador de serviços de confiança (qualificado ou não) a:

• Notificar a autoridade de supervisão (ANSSI) e, se for o caso, a autoridade de proteção de dados (CNIL), em até 24 horas após a detecção de uma violação de segurança passível de impactar a confiabilidade do serviço.

• Manter um plano de continuidade de negócios documentado e testado regularmente.

• Dispor de uma política de segurança de informação formalizada, abrangendo notadamente gestão de riscos, gestão de incidentes e política de backup.

Essas exigências se sobrepõem parcialmente com aquelas da diretiva NIS2 (2022/2555/UE), transposta para o direito francês pela lei n° 2023-703 de 1º de agosto de 2023, que classifica os PSCo de tamanho significativo entre as entidades importantes ou essenciais submetidas a obrigações reforçadas de cibersegurança.

> Descubra como a documentação deve integrar essas restrições em seus workflows.

---

Obrigações RGPD específicas aos PSCo

O PSCo, responsável pelo tratamento ou processador de dados?

A qualificação RGPD do prestador depende da natureza do serviço prestado:

• Quando o PSCo entrega diretamente certificados qualificados em nome do signatário e determina as finalidades do tratamento de dados pessoais (identidade, dados biométricos de autenticação), ele atua como responsável pelo tratamento no sentido do artigo 4(7) RGPD.

• Quando integra sua API na plataforma de um cliente B2B e trata dados pessoais apenas segundo as instruções desse cliente, ele reveste a qualidade de processador de dados (artigo 4(8) RGPD) e deve obrigatoriamente celebrar um DPA (Data Processing Agreement) conforme o artigo 28 RGPD.

Na prática, a maioria dos PSCo SaaS acumula ambas as qualidades: responsável pela gestão de sua própria infraestrutura de certificação, processador para o tratamento de documentos e metadados dos signatários.

Obrigações específicas relacionadas a dados biométricos e de identidade

A identificação e autenticação do signatário — etapa obrigatória para entregar um certificado qualificado — frequentemente implica o tratamento de dados sensíveis: scan de documento de identidade, vídeo selfie, dados biométricos de reconhecimento facial. Esses dados constituem dados pessoais submetidos ao RGPD, ou até dados biométricos sob o artigo 9 RGPD (categorias especiais).

As obrigações do PSCo incluem:

• Base legal: consentimento explícito (artigo 9§2a) ou, em certos casos, obrigação legal (artigo 9§2b) para o tratamento de dados biométricos.

• Duração de retenção limitada: segundo as diretrizes CNIL, dados de identificação devem ser conservados o tempo estritamente necessário, geralmente alinhado à duração de validade do certificado + período legal de prova (frequentemente 10 anos para atos privados, artigo 2224 do Código Civil).

• Análise de impacto (AIPD) obrigatória (artigo 35 RGPD) uma vez que o tratamento pode engendrar risco elevado — o que é sistematicamente o caso para biometria.

• Registro de tratamentos (artigo 30 RGPD) mantido atualizado e documentando cada categoria de tratamento.

Transferências internacionais de dados

Muitos PSCo hospedam parte ou todo sua infraestrutura fora do Espaço Econômico Europeu (EEE). Neste caso, as garantias apropriadas exigidas pelo capítulo V RGPD se impõem: decisão de adequação, cláusulas contratuais padrão (SCCs) da Comissão Europeia ou regras corporativas vinculantes (BCR). A sentença Schrems II (TJUE, C-311/18, 16 de julho de 2020) recordou que transferências para os Estados Unidos requerem análise de risco país prévia.

> Para compreender o impacto dessas regras em sua organização, consulte nossa documentação.

---

Obrigações de transparência e informação aos usuários

Política de certificação (PC) e declaração de práticas de certificação (DPC)

Todo PSCo entregando certificados é obrigado a publicar uma Política de Certificação (PC) e uma Declaração de Práticas de Certificação (DPC), conforme a norma ETSI EN 319 411. Esses documentos, livremente acessíveis, detalham:

• Procedimentos de identificação e registro de signatários.

• Medidas de segurança físicas e lógicas implantadas.

• Condições de revogação de certificados e prazos associados.

• Responsabilidades e limitações de garantia do PSCo.

A ausência ou incompletude desses documentos constitui uma não-conformidade passível de ser detectada durante a auditoria de requalificação pelo organismo acreditado.

Informação pré-contratual e contratual aos clientes

Além das obrigações puramente técnicas, o artigo 13 RGPD impõe ao PSCo fornecer a cada pessoa cujos dados são coletados uma informação clara e acessível sobre:

• Identidade do responsável pelo tratamento e coordenadas do DPO (obrigatório para PSCo que tratam em larga escala dados sensíveis, artigo 37 RGPD).

• Finalidades e bases legais de cada tratamento.

• Direitos das pessoas (acesso, retificação, exclusão, portabilidade, oposição).

• Eventuais destinatários dos dados (processadores, autoridades).

Essas informações devem constar na política de privacidade do serviço, nos Termos de Uso e, se for o caso, no DPA celebrado com clientes profissionais.

Carimbo de data e hora qualificado e trilha de auditoria

Para garantir o valor probante a longo prazo das assinaturas, PSCo sérios associam sistematicamente um carimbo de data e hora eletrônico qualificado (artigo 42 eIDAS) a cada ato assinado. Este carimbo constitui prova legalmente presumida da existência do dado na data indicada. A conservação da trilha de auditoria (logs de identificação, impressão digital do documento, dados da assinatura) é uma obrigação de fato para permitir qualquer verificação judicial posterior.

> Compare as soluções de mercado segundo esses critérios em nossa documentação.

---

eIDAS 2.0: as novas obrigações no horizonte 2026-2027

O regulamento eIDAS 2.0 (UE) 2024/1183

Publicado no Jornal Oficial da UE em 30 de abril de 2024, o regulamento (UE) 2024/1183 dito "eIDAS 2.0" reforça significativamente as obrigações dos PSCo em torno de três eixos:

• A Carteira Europeia de Identidade Digital (EUDI Wallet): os Estados-membros devem disponibilizar uma carteira de identidade digital certificada até 2 de novembro de 2026. Os PSCo deverão integrar seu serviço com essa carteira para oferecer assinaturas qualificadas via identidade eIDAS 2.0.

• A gestão de atestados de atributos: eIDAS 2.0 introduz atestados de atributos qualificados (QEAAs), entregues por prestadores qualificados de atestação. Novos procedimentos de auditoria e qualificação se aplicarão.

• O reforço da supervisão: as autoridades nacionais de supervisão (ANSSI para a França) veem seus poderes ampliados, notadamente a capacidade de diligenciar auditorias surpresa e infligir medidas corretivas obrigatórias em prazos encurtados.

Implicações práticas para prestadores atuais

Os PSCo já qualificados sob eIDAS 1.0 deverão proceder a uma adequação progressiva à conformidade antes das datas limite fixadas pelos atos de execução da Comissão (publicados ou em curso de publicação). As principais adaptações dizem respeito a:

• A reformulação da infraestrutura de identificação para suportar a EUDI Wallet como meio de autenticação.

• A atualização de PC/DPC para integrar as novas tipologias de certificados e atestados.

• O reforço das exigências de segurança dos QSCD remotos, com novos perfis de proteção por vir.

Para as empresas clientes, isso significa verificar desde hoje que seu prestador dispõe de um roadmap de conformidade eIDAS 2.0 documentado e verificável.

Marco legal aplicável às obrigações de prestadores de assinatura eletrônica

A cadeia normativa aplicável aos prestadores de assinatura eletrônica operando na França se articula em vários níveis hierárquicos complementares.

Código Civil francês — Artigos 1366 e 1367

O artigo 1366 do Código Civil reconhece o escrito eletrônico como meio de prova equivalente ao escrito em papel, contanto que "possa ser devidamente identificada a pessoa de quem emana e que seja estabelecido e conservado em condições de natureza a garantir sua integridade". O artigo 1367 precisa que a assinatura eletrônica "consiste no uso de um procedimento confiável de identificação garantindo sua ligação com o ato ao qual se anexa". A presunção de confiabilidade beneficia as assinaturas qualificadas no sentido de eIDAS, invertendo o ônus da prova em favor do signatário.

Regulamento eIDAS n° 910/2014/UE

Este regulamento, de aplicação direta em todos os Estados-membros, estabelece o marco jurídico dos serviços de confiança. Seu artigo 26 define as condições da assinatura eletrônica avançada; seu artigo 28 as exigências dos certificados qualificados; seu Anexo I detalha o conteúdo obrigatório desses certificados. Os PSCo qualificados se beneficiam de uma presunção de conformidade às exigências técnicas e jurídicas do regulamento (artigo 19§2), o que constitui uma vantagem importante em caso de litígio.

Regulamento eIDAS 2.0 — (UE) 2024/1183

Publicado em 30 de abril de 2024, este regulamento modificativo introduz novas categorias de serviços de confiança (atestados de atributos qualificados, serviços de arquivamento qualificados) e reforça as obrigações de supervisão. Ele revoga e substitui parcialmente o regulamento 910/2014, com aplicabilidade progressiva segundo os atos de execução da Comissão Europeia.

RGPD — Regulamento (UE) 2016/679

O RGPD se aplica a todo tratamento de dados pessoais realizado no contexto de um serviço de assinatura eletrônica. Os artigos 5 (princípios de legalidade), 6 (base legal), 9 (dados sensíveis), 13-14 (informação), 28 (subcontratação), 32 (segurança), 33-34 (notificação de violação), 35 (AIPD) e 37 (DPO) constituem as disposições mais frequentemente aplicáveis. A CNIL é a autoridade de controle competente na França e pode infligir multas de até 20 milhões de euros ou 4% do faturamento mundial anual (artigo 83§5 RGPD).

Diretiva NIS2 — (UE) 2022/2555

Transposta para o direito francês pela lei n° 2023-703 de 1º de agosto de 2023, NIS2 classifica os PSCo significativos entre as entidades importantes ou essenciais submetidas a obrigações de gestão de riscos cibernéticos e notificação de incidentes à ANSSI em 24 horas (alerta precoce) depois 72 horas (notificação completa).

Normas ETSI

O conjunto das normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 e TS 119 431 constitui a referência técnica obrigatória para a auditoria de qualificação. Seu não-cumprimento causa a impossibilidade de obter ou manter o status qualificado.

Riscos jurídicos em caso de não-conformidade

Um prestador não-conforme se expõe a: exclusão da TSL francesa, engajamento de sua responsabilidade contratual e extracontratual, sanções administrativas CNIL, multas NIS2 podendo alcançar 10 milhões de euros ou 2% do CA mundial para entidades importantes e 20 milhões ou 4% do CA para entidades essenciais, bem como reclamações judiciais de clientes que sofreram prejuízo devido a assinaturas não válidas juridicamente.

Cenários de uso: como as empresas verificam a conformidade de seu PSCo

Cenário 1 — Um grupo industrial gerenciando 3 000 contratos de fornecedores por ano

Um grupo industrial de tamanho intermediário (ETI), ativo na fabricação de equipamentos mecânicos, desmaterializa o conjunto de seus contratos de fornecedores via plataforma SaaS de assinatura eletrônica. Durante uma auditoria interna disparada após uma evolução regulatória, a direção jurídica constata que o prestador retido — inicialmente escolhido por critério de preço — não está referenciado nem na TSL francesa nem em nenhuma TSL europeia. As assinaturas entregues são do tipo "simples" sem mecanismo de identificação robusto do signatário.

Diante do risco jurídico — o conjunto dos contratos assinados poderia ver seu valor probante contestado em caso de litígio — a empresa engaja uma migração para um PSCo qualificado ANSSI. A nova solução integra uma assinatura avançada com certificado qualificado, um carimbo de data e hora qualificado e uma trilha de auditoria exportável. O projeto de migração, realizado em menos de 8 semanas, permite securizar retroativamente os novos atos e estabelecer uma política documentária em conformidade. As equipes jurídicas estimam que o risco litigioso ligado aos antigos contratos permanece marginal devido a sua execução sem contestação, mas toda nova assinatura está agora coberta.

Ganhos observados: redução de 60% dos litígios potenciais relacionados à autenticidade das assinaturas, e ganho de 3,5 dias de prazo médio de assinatura nos contratos complexos graças à automação do workflow de validação.

Cenário 2 — Um escritório de advocacia de 25 colaboradores especializado em direito societário

Um escritório de advocacia desejando digitalizar a assinatura de poderes, de consultas e de peças processuais avalia vários prestadores. Sua grade de análise integra os seguintes critérios: presença na TSL, publicação de uma PC/DPC acessível, existência de um DPA conforme RGPD, disponibilidade de um DPO contatável e certificação dos QSCD remotos.

Entre cinco prestadores avaliados, apenas dois satisfazem o conjunto dos critérios. O escritório retém finalmente um PSCo oferecendo nativamente uma assinatura qualificada via QSCD remoto, garantindo a presunção de confiabilidade do artigo 1367 do Código Civil. A implementação leva 3 semanas, incluindo treinamento. Resultado: 75% dos poderes são agora assinados em menos de 24 horas contra 5 a 7 dias anteriormente (envio postal), e o escritório pode justificar a seus clientes o nível de segurança jurídica oferecido pela solução — um argumento diferenciador em suas propostas comerciais.

Cenário 3 — Um agrupamento hospitalar de aproximadamente 1 200 leitos

Um agrupamento hospitalar público deseja desmaterializar contratos de trabalho, convenções de estágio e acordos de parceria com estabelecimentos de saúde parceiros. A sensibilidade dos dados tratados (dados de saúde dos profissionais de saúde, dados RH) impõe vigilância particular sobre as obrigações RGPD do PSCo.

A DSI e o DPO do estabelecimento exigem: hospedagem de dados na França com um hospedeiro de dados de saúde certificado HDS (Hébergeur de Données de Santé, certificação prevista pelo artigo L.1111-8 do Código de Saúde Pública), ausência de transferência fora do EEE, AIPD documentada para o tratamento de identificação dos signatários, e DPA assinado antes de qualquer colocação em produção.

Após seleção de um PSCo respondendo esses critérios, o desdobramento cobre prioritariamente os contratos RH (aproximadamente 800 atos por ano). O prazo médio de assinatura de contratos de duração determinada passa de 9 dias para menos de 48 horas, liberando capacidade significativa para as equipes de recursos humanos. O estabelecimento dispõe além disso de rastreabilidade completa dos consentimentos coletados, auditada anualmente por seu DPO.

Conclusão

As obrigações legais pesando sobre prestadores de assinatura eletrônica na França formam um corpus normativo exigente: qualificação eIDAS, conformidade RGPD, conformidade com normas ETSI, obrigações NIS2 e adaptação iminente a eIDAS 2.0. Para as empresas usuárias, garantir a conformidade de seu PSCo não é uma abordagem opcional — é uma condição sine qua non do valor probante dos atos assinados e da proteção de dados pessoais dos signatários.

Certyneo é um prestador de assinatura eletrônica concebido para responder ao conjunto dessas exigências: conformidade eIDAS, RGPD by design, hospedagem soberana e roadmap eIDAS 2.0 documentado. Pronto para securizar suas assinaturas em total conformidade? Contate-nos e beneficie de um acompanhamento personalizado desde o primeiro dia.