Obrigações do prestador de assinatura eletrônica na França

Introdução

Implementar uma solução de assinatura eletrônica na França não é algo que se improvise. Por trás de cada assinatura qualificada ou avançada há dezenas de obrigações legais que incidem sobre o prestador de serviços de confiança (PSC). Regulamento eIDAS, RGPD, referencial geral de segurança, normas ETSI… o marco regulatório é ao mesmo tempo denso e evolutivo. Para as empresas usuárias, compreender essas obrigações legais prestador de assinatura eletrônica França eIDAS RGPD é indispensável para escolher um parceiro em conformidade e evitar qualquer risco jurídico. Este artigo detalha, seção por seção, o conjunto das exigências aplicáveis aos PSC operando no território francês.

---

O estatuto de prestador de serviços de confiança qualificado

O que é um PSC no sentido do eIDAS?

O regulamento eIDAS nº 910/2014 distingue duas categorias de prestadores: os prestadores de serviços de confiança não qualificados e os prestadores qualificados (PSCQ). Os primeiros podem propor serviços de assinatura eletrônica simples ou avançada sem auditoria externa obrigatória. Os segundos — únicos autorizados a entregar assinaturas qualificadas no sentido do artigo 3(15) do eIDAS — devem satisfazer exigências consideravelmente mais rigorosas.

Na França, é a Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) que cumpre o papel de autoridade de supervisão ("Supervisory Body") previsto pelo artigo 17 do eIDAS. Ela publica e mantém a lista de confiança francesa (TSL — Trust Service List), acessível em seu site oficial, que lista os prestadores qualificados e seus serviços.

O procedimento de qualificação: auditoria e conformidade

Para obter o estatuto qualificado, um PSC deve obrigatoriamente:

• Fazer auditar seus serviços por um organismo de avaliação da conformidade (CAB — Conformity Assessment Body) acreditado pelo COFRAC conforme a norma EN ISO/IEC 17065.

• Submeter o relatório de auditoria à ANSSI, que decide sobre a concessão do estatuto qualificado. Este estatuto é reavaliado no mínimo a cada 24 meses (artigo 20 §1 eIDAS).

• Notificar a ANSSI de qualquer mudança substancial em seus serviços no prazo de 3 meses antes da modificação prevista (artigo 21 eIDAS).

O não cumprimento dessas etapas expõe o prestador à exclusão da TSL e à perda das presunções jurídicas vinculadas à assinatura qualificada. Para as empresas clientes, recorrer a um PSC não listado na TSL equivale a não usufruir de nenhuma presunção legal de confiabilidade.

> Para saber mais sobre os diferentes níveis de assinatura e seus efeitos jurídicos, consulte nosso guia completo do regulamento eIDAS 2.0.

---

Obrigações técnicas e de segurança impostas aos PSC

Conformidade com as normas ETSI

Os prestadores qualificados devem estar em conformidade com um conjunto de normas europeias publicadas pelo Instituto Europeu de Normas de Telecomunicações (ETSI). As principais são:

• ETSI EN 319 401: requisitos gerais de segurança aplicáveis a todos os PSC.

• ETSI EN 319 411-1 e 411-2: políticas e práticas das autoridades de certificação que emitem certificados de assinatura qualificada.

• ETSI EN 319 132: formatos de assinatura eletrônica avançada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122: formato CAdES para assinaturas qualificadas.

• ETSI TS 119 431: requisitos para serviços de criação de assinatura remota (QSCD remota).

Essas normas não são opcionais: o regulamento eIDAS (Anexo II, III e IV) faz referência explícita a elas para definir os requisitos mínimos dos certificados qualificados e dos dispositivos de criação de assinatura.

Gestão dos dispositivos seguros de criação de assinatura (QSCD)

Um dos pilares da assinatura qualificada é o uso de um dispositivo seguro de criação de assinatura (QSCD — Qualified Signature Creation Device) em conformidade com o Anexo II do eIDAS. O prestador deve garantir que:

• A chave privada do signatário não possa ser gerada, armazenada ou copiada fora do QSCD.

• A geração da chave ocorra exclusivamente em um ambiente certificado (certificação Common Criteria EAL 4+ ou equivalente).

• A autenticação do signatário que precede qualquer ato de assinatura se baseie em no mínimo dois fatores de autenticação.

Em um contexto de assinatura remota — cada vez mais comum em ambientes SaaS — esses requisitos se aplicam ao servidor HSM (Hardware Security Module) que hospeda as chaves. A ANSSI publicou perfis de proteção específicos (PP-0075, PP-0076) definindo os critérios de segurança a alcançar.

Política de continuidade e notificação de incidentes

O artigo 19 do eIDAS impõe a todo prestador de serviços de confiança (qualificado ou não) a:

• Notificar a autoridade de supervisão (ANSSI) e, se aplicável, a autoridade de proteção de dados (CNIL), no prazo de 24 horas após a detecção de uma violação de segurança que possa ter impacto na confiabilidade do serviço.

• Manter um plano de continuidade de negócios documentado e testado regularmente.

• Dispor de uma política de segurança da informação formalizada, cobrindo especialmente a gestão de riscos, gestão de incidentes e política de backup.

Esses requisitos se sobrepõem parcialmente com os da diretiva NIS2 (2022/2555/UE), transposta para a lei francesa pela lei nº 2023-703 de 1º de agosto de 2023, que classifica os PSC de tamanho significativo entre as entidades importantes ou essenciais sujeitas a obrigações reforçadas de cibersegurança.

> Descubra como a assinatura eletrônica para escritórios de advocacia deve integrar essas restrições em seus fluxos de trabalho de documentação.

---

Obrigações RGPD específicas aos PSC

O PSC, responsável pelo tratamento ou subcontratado?

A qualificação RGPD do prestador depende da natureza do serviço prestado:

• Quando o PSC entrega diretamente certificados qualificados em nome do signatário e determina as finalidades do tratamento de dados pessoais (identidade, dados biométricos de autenticação), atua como responsável pelo tratamento no sentido do artigo 4(7) RGPD.

• Quando integra sua API na plataforma de um cliente B2B e trata dados pessoais segundo as únicas instruções deste cliente, reveste-se da qualidade de subcontratado (artigo 4(8) RGPD) e deve obrigatoriamente celebrar um DPA (Data Processing Agreement) em conformidade com o artigo 28 RGPD.

Na prática, a maioria dos PSC SaaS cumprem ambas as qualidades: responsável pela gestão de sua própria infraestrutura de certificação, subcontratado pelo tratamento de documentos e metadados dos signatários.

Obrigações específicas relacionadas a dados biométricos e de identidade

A identificação e autenticação do signatário — etapa obrigatória para entregar um certificado qualificado — frequentemente implica o tratamento de dados sensíveis: digitalização de documento de identidade, selfie em vídeo, dados biométricos de reconhecimento facial. Esses dados constituem dados pessoais sujeitos ao RGPD, ou até mesmo dados biométricos abrangidos pelo artigo 9 RGPD (categorias especiais).

As obrigações do PSC incluem:

• Base legal: consentimento explícito (artigo 9§2a) ou, em certos casos, obrigação legal (artigo 9§2b) para o tratamento de dados biométricos.

• Duração de conservação limitada: de acordo com as diretrizes da CNIL, os dados de identificação devem ser conservados o tempo estritamente necessário, geralmente alinhado com a duração de validade do certificado + duração legal de prova (frequentemente 10 anos para atos privados, artigo 2224 do Código Civil).

• Análise de impacto (AIPD) obrigatória (artigo 35 RGPD) sempre que o tratamento seja suscetível de gerar um risco elevado — o que é sistematicamente o caso para biometria.

• Registro de tratamentos (artigo 30 RGPD) mantido atualizado e documentando cada categoria de tratamento.

Transferências internacionais de dados

Muitos PSC hospedam toda ou parte de sua infraestrutura fora do Espaço Econômico Europeu (EEE). Nesse caso, as garantias apropriadas exigidas pelo capítulo V do RGPD se impõem: decisão de adequação, cláusulas contratuais padrão (SCCs) da Comissão Europeia ou regras vinculantes corporativas (BCR). A decisão Schrems II (TJUE, C-311/18, 16 de julho de 2020) recordou que as transferências para os Estados Unidos exigem uma análise de risco país prévia.

> Para entender o impacto dessas regras em sua organização, consulte nosso guia sobre assinatura eletrônica na empresa.

---

Obrigações de transparência e informação aos usuários

Política de Certificação (PC) e Declaração das Práticas de Certificação (DPC)

Todo PSC que emite certificados é obrigado a publicar uma Política de Certificação (PC) e uma Declaração das Práticas de Certificação (DPC), em conformidade com a norma ETSI EN 319 411. Esses documentos, livremente acessíveis, detalham:

• Os procedimentos de identificação e registro dos signatários.

• As medidas de segurança física e lógica implementadas.

• As condições de revogação dos certificados e prazos associados.

• As responsabilidades e limitações de garantia do PSC.

A ausência ou incompletude desses documentos constitui uma não conformidade suscetível de ser apontada durante a auditoria de requalificação pelo organismo acreditado.

Informação pré-contratual e contratual dos clientes

Além das obrigações puramente técnicas, o artigo 13 do RGPD impõe ao PSC fornecer a cada pessoa cujos dados são coletados uma informação clara e acessível sobre:

• A identidade do responsável pelo tratamento e as coordenadas do DPO (obrigatório para PSC que tratam em larga escala dados sensíveis, artigo 37 RGPD).

• As finalidades e bases legais de cada tratamento.

• Os direitos das pessoas (acesso, retificação, exclusão, portabilidade, oposição).

• Os eventuais destinatários dos dados (subcontratados, autoridades).

Essas informações devem constar na política de privacidade do serviço, nos Termos de Uso e, se aplicável, no DPA celebrado com clientes profissionais.

Assinatura com carimbo de tempo qualificada e trilha de auditoria

Para garantir o valor probatório de longo prazo das assinaturas, os PSC sérios associam sistematicamente um carimbo de tempo eletrônico qualificado (artigo 42 eIDAS) a cada ato assinado. Esse carimbo de tempo constitui prova legalmente presumida da existência do dado na data indicada. A conservação da trilha de auditoria (logs de identificação, impressão digital do documento, dados da assinatura) é uma obrigação de fato para permitir qualquer verificação judicial posterior.

> Compare as soluções do mercado segundo esses critérios em nosso comparativo de soluções de assinatura eletrônica.

---

eIDAS 2.0: as novas obrigações no horizonte 2026-2027

O regulamento eIDAS 2.0 (UE) 2024/1183

Publicado no Diário Oficial da UE em 30 de abril de 2024, o regulamento (UE) 2024/1183 denominado "eIDAS 2.0" reforça significativamente as obrigações dos PSC em torno de três eixos:

• A Carteira Europeia de Identidade Digital (EUDI Wallet): os Estados membros devem colocar à disposição uma carteira de identidade digital certificada até 2 de novembro de 2026. Os PSC deverão integrar seu serviço com essa carteira para oferecer assinaturas qualificadas via identidade eIDAS 2.0.

• A gestão de atestados de atributos: eIDAS 2.0 introduz os atestados de atributos qualificados (QEAAs), entregues por prestadores qualificados de atestação. Novos procedimentos de auditoria e qualificação se aplicarão.

• O reforço da supervisão: as autoridades nacionais de supervisão (ANSSI para a França) veem seus poderes ampliados, especialmente a capacidade de realizar auditorias não anunciadas e impor medidas corretivas vinculantes em prazos reduzidos.

Implicações práticas para os prestadores atuais

Os PSC já qualificados sob eIDAS 1.0 deverão proceder a uma conformidade progressiva antes dos prazos fixados pelos atos de execução da Comissão (publicados ou em curso de publicação). As principais adaptações dizem respeito a:

• A reformulação da infraestrutura de identificação para suportar a EUDI Wallet como meio de autenticação.

• A atualização das PC/DPC para integrar as novas tipologias de certificados e atestados.

• O reforço das exigências de segurança das QSCD remotas, com novos perfis de proteção por vir.

Para as empresas clientes, isso significa verificar desde agora que seu prestador tem uma roadmap de conformidade eIDAS 2.0 documentada e verificável.

Marco legal aplicável às obrigações dos prestadores de assinatura eletrônica

A cadeia normativa aplicável aos prestadores de assinatura eletrônica operando na França se articula em vários níveis hierárquicos complementares.

Código Civil Francês — Artigos 1366 e 1367

O artigo 1366 do Código Civil reconhece o escrito eletrônico como modo de prova equivalente ao escrito em papel, contanto que "possa ser devidamente identificada a pessoa de quem emana e que seja estabelecido e conservado em condições adequadas para garantir sua integridade". O artigo 1367 precisa que a assinatura eletrônica "consiste no uso de um processo fiável de identificação garantindo seu vínculo com o ato ao qual se prende". A presunção de confiabilidade beneficia as assinaturas qualificadas no sentido do eIDAS, invertendo o ônus da prova a favor do signatário.

Regulamento eIDAS nº 910/2014/UE

Este regulamento, de aplicação direta em todos os Estados membros, estabelece o marco jurídico dos serviços de confiança. Seu artigo 26 define as condições da assinatura eletrônica avançada; seu artigo 28 as exigências dos certificados qualificados; seu Anexo I detalha o conteúdo obrigatório desses certificados. Os PSC qualificados desfrutam de uma presunção de conformidade com as exigências técnicas e jurídicas do regulamento (artigo 19§2), o que constitui um ativo maior em caso de litígio.

Regulamento eIDAS 2.0 — (UE) 2024/1183

Publicado em 30 de abril de 2024, este regulamento modificador introduz novas categorias de serviços de confiança (atestados de atributos qualificados, serviços de arquivo qualificados) e reforça as obrigações de supervisão. Ele revoga e substitui parcialmente o regulamento 910/2014, com aplicabilidade progressiva conforme os atos de execução da Comissão Europeia.

RGPD — Regulamento (UE) 2016/679

O RGPD se aplica a qualquer tratamento de dados pessoais realizado no contexto de um serviço de assinatura eletrônica. Os artigos 5 (princípios de legalidade), 6 (base legal), 9 (dados sensíveis), 13-14 (informação), 28 (subcontratação), 32 (segurança), 33-34 (notificação de violação), 35 (AIPD) e 37 (DPO) constituem as disposições mais frequentemente aplicáveis. A CNIL é a autoridade de controle competente na França e pode impor multas até 20 milhões de euros ou 4% do faturamento mundial anual (artigo 83§5 RGPD).

Diretiva NIS2 — (UE) 2022/2555

Transposta para a lei francesa pela lei nº 2023-703 de 1º de agosto de 2023, NIS2 classifica os PSC significativos entre as entidades importantes ou essenciais sujeitas a obrigações de gestão de riscos cibernéticos e notificação de incidentes à ANSSI em 24 horas (alerta antecipado) e depois 72 horas (notificação completa).

Normas ETSI

O conjunto das normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 e TS 119 431 constitui a referência técnica obrigatória para a auditoria de qualificação. Seu não cumprimento impede a obtenção ou manutenção do estatuto qualificado.

Riscos jurídicos em caso de não conformidade

Um prestador não conforme se expõe a: exclusão da TSL francesa, engajamento de sua responsabilidade contratual e extracontratual, sanções administrativas CNIL, multas NIS2 podendo atingir 10 milhões de euros ou 2% do CA mundial para entidades importantes e 20 milhões ou 4% do CA para entidades essenciais, bem como a recursos judiciais de clientes que sofreram prejuízo devido a assinaturas juridicamente inválidas.

Cenários de uso: como as empresas verificam a conformidade de seu PSC

Cenário 1 — Um grupo industrial gerenciando 3.000 contratos com fornecedores por ano

Um grupo industrial de tamanho médio (PME), ativo na fabricação de equipamentos mecânicos, desmaterializa o conjunto de seus contratos com fornecedores via uma plataforma SaaS de assinatura eletrônica. Durante uma auditoria interna desencadeada após uma evolução regulatória, a diretoria jurídica constata que o prestador escolhido — inicialmente selecionado por critério de preço — não está referenciado nem na TSL francesa, nem em nenhuma TSL europeia. As assinaturas entregues são do tipo "simples" sem mecanismo de identificação robusta do signatário.

Diante do risco jurídico — o conjunto dos contratos assinados poderia ter seu valor probatório contestado em caso de litígio — a empresa inicia uma migração para um PSC qualificado ANSSI. A nova solução integra uma assinatura avançada com certificado qualificado, um carimbo de tempo qualificado e uma trilha de auditoria exportável. O projeto de migração, realizado em menos de 8 semanas, permite assegurar retroativamente os novos atos e estabelecer uma política documentária em conformidade. As equipes jurídicas estimam que o risco contencioso ligado aos contratos antigos permanece marginal pelo fato de sua execução sem contestação, mas toda assinatura nova está agora coberta.

Ganhos observados: redução de 60% dos litígios potenciais ligados à autenticidade das assinaturas, e ganho de 3,5 dias de prazo médio de assinatura nos contratos complexos graças à automatização do fluxo de validação.

Cenário 2 — Um escritório de advocacia de 25 colaboradores especializado em direito empresarial

Um escritório de advocacia buscando digitalizar a assinatura de mandatos, pareceres e atos processuais avalia vários prestadores. Sua matriz de análise integra os seguintes critérios: presença na TSL, publicação de uma PC/DPC acessível, existência de um DPA conforme RGPD, disponibilidade de um DPO contatável e certificação das QSCD remotas.

Entre cinco prestadores avaliados, apenas dois satisfazem o conjunto dos critérios. O escritório finalmente seleciona um PSC oferecendo nativamente uma assinatura qualificada via QSCD remota, garantindo a presunção de confiabilidade do artigo 1367 do Código Civil. A implementação leva 3 semanas, treinamento incluído. Resultado: 75% dos mandatos são agora assinados em menos de 24 horas contra 5 a 7 dias anteriormente (envio postal), e o escritório pode justificar aos seus clientes o nível de segurança jurídica oferecido pela solução — um argumento diferenciador em suas propostas comerciais.

Cenário 3 — Um agrupamento hospitalar de aproximadamente 1.200 leitos

Um agrupamento hospitalar público deseja desmaterializar os contratos de trabalho, as convenções de estágio e os acordos de parceria com estabelecimentos de cuidados parceiros. A sensibilidade dos dados tratados (dados de saúde dos profissionais de saúde, dados de RH) impõe vigilância particular sobre as obrigações RGPD do PSC.

A DSI e o DPO do estabelecimento exigem: hospedagem dos dados na França em um hospedeiro de dados de saúde certificado HDS (Hébergeur de Données de Santé, certificação prevista pelo artigo L.1111-8 do Código de Saúde Pública), ausência de transferência fora do EEE, AIPD documentada para o tratamento de identificação dos signatários, e DPA assinado antes de qualquer colocação em produção.

Após seleção de um PSC respondendo a esses critérios, o desdobramento cobre prioritariamente os contratos de RH (aproximadamente 800 atos por ano). O prazo médio de assinatura dos contratos a prazo determinado passa de 9 dias para menos de 48 horas, liberando capacidade significativa para as equipes de recursos humanos. O estabelecimento dispõe além disso de rastreabilidade completa dos consentimentos coletados, auditada anualmente por seu DPO.

Conclusão

As obrigações legais pesando sobre os prestadores de assinatura eletrônica na França formam um corpus normativo exigente: qualificação eIDAS, conformidade RGPD, respeito às normas ETSI, obrigações NIS2 e adaptação iminente ao eIDAS 2.0. Para as empresas usuárias, assegurar a conformidade de seu PSC não é uma abordagem opcional — é uma condição sine qua non do valor probatório dos atos assinados e da proteção dos dados pessoais dos signatários.

Certyneo é um prestador de assinatura eletrônica concebido para atender ao conjunto dessas exigências: conformidade eIDAS, RGPD by design, hospedagem soberana e roadmap eIDAS 2.0 documentada. Pronto para assegurar suas assinaturas em total conformidade? Solicite uma demonstração ou crie sua conta em Certyneo e beneficie de um acompanhamento personalizado desde o primeiro dia.