Obrigações do prestatário de assinatura eletrônica em França

Introdução

Implementar uma solução de assinatura eletrônica em França não é uma tarefa improvisada. Por trás de cada assinatura qualificada ou avançada escondem-se dezenas de obrigações legais que incumbem ao prestatário de serviços de confiança (PSCo). Regulamento eIDAS, RGPD, referencial geral de segurança, normas ETSI… o marco regulatório é simultaneamente denso e evolutivo. Para as empresas utilizadoras, compreender estas obrigações legais prestatário assinatura eletrônica França eIDAS RGPD é indispensável para escolher um parceiro conforme e evitar qualquer risco jurídico. Este artigo detalha, secção por secção, o conjunto das exigências aplicáveis aos PSCo que operam no território francês.

---

O estatuto de prestatário de serviços de confiança qualificado

O que é um PSCo no sentido do eIDAS ?

O regulamento eIDAS n.º 910/2014 distingue duas categorias de prestatários : os prestatários de serviços de confiança não qualificados e os prestatários qualificados (PSCQ). Os primeiros podem propor serviços de assinatura eletrônica simples ou avançada sem auditoria de terceiros obrigatória. Os segundos — únicos autorizados a entregar assinaturas qualificadas no sentido do artigo 3(15) do eIDAS — devem satisfazer exigências consideravelmente mais rigorosas.

Em França, é a Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) que cumpre o papel de autoridade de supervisão (« Supervisory Body ») previsto pelo artigo 17 do eIDAS. Publica e mantém a lista de confiança francesa (TSL — Trust Service List), acessível no seu site oficial, que enumera os prestatários qualificados e os seus serviços.

O procedimento de qualificação : auditoria e conformidade

Para obter o estatuto qualificado, um PSCo deve obrigatoriamente :

• Fazer auditar os seus serviços por um organismo de avaliação da conformidade (CAB — Conformity Assessment Body) acreditado pelo COFRAC de acordo com a norma EN ISO/IEC 17065.

• Submeter o relatório de auditoria à ANSSI, que se pronuncia sobre a concessão do estatuto qualificado. Este estatuto é reavaliado pelo menos a cada 24 meses (artigo 20 §1 eIDAS).

• Notificar a ANSSI de qualquer mudança substancial nos seus serviços no prazo de 3 meses antes da alteração prevista (artigo 21 eIDAS).

O incumprimento destas etapas expõe o prestatário à remoção da TSL e à perda das presunções jurídicas anexadas à assinatura qualificada. Para as empresas clientes, recorrer a um PSCo não listado na TSL equivale a não beneficiar de nenhuma presunção legal de fiabilidade.

> Para saber mais sobre os diferentes níveis de assinatura e os seus efeitos jurídicos, consulte o nosso artigo.

---

Obrigações técnicas e de segurança impostas aos PSCo

Conformidade com as normas ETSI

Os prestatários qualificados devem cumprir um conjunto de normas europeias publicadas pelo Instituto Europeu de Normas de Telecomunicações (ETSI). As principais são :

• ETSI EN 319 401 : exigências gerais de segurança aplicáveis a todos os PSCo.

• ETSI EN 319 411-1 e 411-2 : políticas e práticas das autoridades de certificação que emitem certificados de assinatura qualificada.

• ETSI EN 319 132 : formatos de assinatura eletrônica avançada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122 : formato CAdES para assinaturas qualificadas.

• ETSI TS 119 431 : exigências para serviços de criação de assinatura à distância (QSCD à distância).

Estas normas não são opcionais : o regulamento eIDAS (Anexos II, III e IV) refere-se explicitamente a elas para definir os requisitos mínimos dos certificados qualificados e dos dispositivos de criação de assinatura.

Gestão de dispositivos seguros de criação de assinatura (QSCD)

Um dos pilares da assinatura qualificada é a utilização de um dispositivo seguro de criação de assinatura (QSCD — Qualified Signature Creation Device) em conformidade com o Anexo II do eIDAS. O prestatário deve garantir que :

• A chave privada do signatário não pode ser gerada, armazenada ou copiada fora do QSCD.

• A geração da chave ocorre exclusivamente num ambiente certificado (certificação Critérios Comuns EAL 4+ ou equivalente).

• A autenticação do signatário anterior a qualquer acto de assinatura baseia-se em pelo menos dois fatores de autenticação.

Num contexto de assinatura à distância — cada vez mais comum nos ambientes SaaS — estas exigências aplicam-se ao servidor HSM (Hardware Security Module) que aloja as chaves. A ANSSI publicou perfis de proteção específicos (PP-0075, PP-0076) que definem os critérios de segurança a atingir.

Política de continuidade e notificação de incidentes

O artigo 19 do eIDAS impõe a todo o prestatário de serviços de confiança (qualificado ou não) que :

• Notifique a autoridade de supervisão (ANSSI) e, se for caso disso, a autoridade de proteção de dados (CNIL), no prazo de 24 horas após a detecção de uma violação de segurança suscetível de ter impacto na fiabilidade do serviço.

• Tenha um plano de continuidade de negócios documentado e testado regularmente.

• Disponha de uma política de segurança da informação formalizada, cobrindo nomeadamente a gestão de riscos, a gestão de incidentes e a política de cópia de segurança.

Estas exigências sobrepõem-se parcialmente com as da diretiva NIS2 (2022/2555/UE), transposta para o direito francês pela lei n.º 2023-703 de 1 de agosto de 2023, que classifica os PSCo de dimensão significativa entre as entidades importantes ou essenciais sujeitas a obrigações reforçadas de cibersegurança.

> Descubra como a transformação digital deve integrar estas restrições nos seus workflows documentários.

---

Obrigações RGPD específicas aos PSCo

O PSCo, responsável pelo tratamento ou subcontratado ?

A qualificação RGPD do prestatário depende da natureza do serviço prestado :

• Quando o PSCo entrega diretamente certificados qualificados em nome do signatário e determina os objectivos do tratamento de dados pessoais (identidade, dados biométricos de autenticação), age como responsável pelo tratamento no sentido do artigo 4(7) RGPD.

• Quando integra a sua API na plataforma de um cliente B2B e trata dados pessoais apenas de acordo com as instruções deste cliente, reveste a qualidade de subcontratado (artigo 4(8) RGPD) e deve obrigatoriamente celebrar um DPA (Contrato de Tratamento de Dados) em conformidade com o artigo 28 RGPD.

Na prática, a maioria dos PSCo SaaS acumulam as duas qualidades : responsável pela gestão da sua própria infraestrutura de certificação, subcontratado para o tratamento de documentos e metadados dos signatários.

Obrigações específicas relacionadas com dados biométricos e de identidade

A identificação e autenticação do signatário — etapa obrigatória para entregar um certificado qualificado — implica frequentemente o tratamento de dados sensíveis : digitalização de documento de identidade, selfie vídeo, dados biométricos de reconhecimento facial. Estes dados constituem dados pessoais sujeitos ao RGPD, ou até dados biométricos abrangidos pelo artigo 9 RGPD (categorias especiais).

As obrigações do PSCo incluem :

• Base legal : consentimento explícito (artigo 9§2a) ou, em certos casos, obrigação legal (artigo 9§2b) para o tratamento de dados biométricos.

• Duração de conservação limitada : de acordo com as linhas orientadoras CNIL, os dados de identificação devem ser conservados o tempo estritamente necessário, geralmente alinhado com a duração de validade do certificado + duração legal de prova (frequentemente 10 anos para actos sob assinatura privada, artigo 2224 do Código Civil).

• Análise de impacto (AIPD) obrigatória (artigo 35 RGPD) assim que o tratamento seja suscetível de gerar um risco elevado — o que é sistematicamente o caso para a biometria.

• Registo dos tratamentos (artigo 30 RGPD) mantido atualizado e documentando cada categoria de tratamento.

Transferências internacionais de dados

Numerosos PSCo alojam toda ou parte da sua infraestrutura fora do Espaço Económico Europeu (EEE). Neste caso, as garantias apropriadas exigidas pelo capítulo V RGPD aplicam-se : decisão de adequação, cláusulas contratuais tipo (SCCs) da Comissão Europeia ou regras vinculativas da empresa (BCR). O acórdão Schrems II (TJUE, C-311/18, 16 de julho de 2020) recordou que as transferências para os Estados Unidos exigem uma análise de risco país prévia.

> Para compreender o impacto destas regras na sua organização, consulte o nosso artigo.

---

Obrigações de transparência e informação aos utilizadores

Política de certificação (PC) e declaração de práticas de certificação (DPC)

Todo o PSCo que emita certificados é obrigado a publicar uma Política de Certificação (PC) e uma Declaração das Práticas de Certificação (DPC), em conformidade com a norma ETSI EN 319 411. Estes documentos, livremente acessíveis, detalham :

• Os procedimentos de identificação e inscrição de signatários.

• As medidas de segurança física e lógica implementadas.

• As condições de revogação de certificados e os prazos associados.

• As responsabilidades e limitações de garantia do PSCo.

A ausência ou incompletude destes documentos constitui um incumprimento suscetível de ser relevado durante a auditoria de requalificação pelo organismo acreditado.

Informação pré-contratual e contratual aos clientes

Para além das obrigações puramente técnicas, o artigo 13 RGPD impõe ao PSCo fornecer a cada pessoa cujos dados são recolhidos uma informação clara e acessível sobre :

• A identidade do responsável pelo tratamento e os contactos do DPO (obrigatório para os PSCo que tratam em larga escala dados sensíveis, artigo 37 RGPD).

• Os objectivos e bases legais de cada tratamento.

• Os direitos das pessoas (acesso, retificação, apagamento, portabilidade, oposição).

• Os eventuais destinatários dos dados (subcontratados, autoridades).

Estas informações devem constar na política de privacidade do serviço, nas CGU e, se for caso disso, no DPA celebrado com os clientes profissionais.

Marcação temporal qualificada e pista de auditoria

Para garantir o valor probante a longo prazo das assinaturas, os PSCo sérios associam sistematicamente uma marcação temporal eletrônica qualificada (artigo 42 eIDAS) a cada acto assinado. Esta marcação temporal constitui uma prova legalmente presumida da existência do dado na data indicada. A conservação da pista de auditoria (registos de identificação, resumo do documento, dados da assinatura) é uma obrigação de facto para permitir qualquer verificação judicial posterior.

> Compare as soluções do mercado segundo estes critérios no nosso artigo.

---

eIDAS 2.0 : as novas obrigações no horizonte 2026-2027

O regulamento eIDAS 2.0 (UE) 2024/1183

Publicado no Jornal Oficial da UE em 30 de abril de 2024, o regulamento (UE) 2024/1183 designado « eIDAS 2.0 » reforça significativamente as obrigações dos PSCo em torno de três eixos :

• A Carteira Europeia de Identidade Digital (EUDI Wallet) : os Estados-Membros devem disponibilizar uma carteira de identidade digital certificada até 2 de novembro de 2026. Os PSCo deverão integrar o seu serviço com esta carteira para propor assinaturas qualificadas via identidade eIDAS 2.0.

• A gestão de atestados de atributos : o eIDAS 2.0 introduz os atestados de atributos qualificados (QEAAs), entregues por prestatários qualificados de atestação. Aplicam-se novos procedimentos de auditoria e qualificação.

• O reforço da supervisão : as autoridades nacionais de supervisão (ANSSI para França) têm os seus poderes alargados, nomeadamente a capacidade de diligenciar auditorias sem aviso prévio e de aplicar medidas corretivas vinculativas em prazos reduzidos.

Implicações práticas para os prestatários atuais

Os PSCo já qualificados sob eIDAS 1.0 deverão proceder a uma conformidade progressiva antes dos prazos fixados pelos actos de execução da Comissão (publicados ou em publicação). As principais adaptações relacionam-se com :

• A reformulação da infraestrutura de identificação para suportar a EUDI Wallet como meio de autenticação.

• A atualização das PC/DPC para integrar as novas tipologias de certificados e atestados.

• O reforço das exigências de segurança dos QSCD à distância, com novos perfis de proteção por vir.

Para as empresas clientes, isto significa verificar desde já que o seu prestatário dispõe de uma roadmap de conformidade eIDAS 2.0 documentada e verificável.

Marco legal aplicável às obrigações dos prestatários de assinatura eletrônica

A cadeia normativa aplicável aos prestatários de assinatura eletrônica que operam em França articula-se sobre vários níveis hierárquicos complementares.

Código Civil francês — Artigos 1366 e 1367

O artigo 1366 do Código Civil reconhece o escrito eletrônico como modo de prova equivalente ao escrito em papel, desde que « possa ser devidamente identificada a pessoa de cuja responsabilidade emana e seja estabelecido e conservado em condições de natureza a garantir a sua integridade ». O artigo 1367 precisa que a assinatura eletrônica « consiste no recurso a um processo fiável de identificação garantindo a sua ligação ao acto ao qual se anexa ». A presunção de fiabilidade beneficia as assinaturas qualificadas no sentido do eIDAS, invertendo o ónus da prova a favor do signatário.

Regulamento eIDAS n.º 910/2014/UE

Este regulamento, de aplicação direta em todos os Estados-Membros, estabelece o marco jurídico dos serviços de confiança. O seu artigo 26 define as condições da assinatura eletrônica avançada ; o seu artigo 28 as exigências dos certificados qualificados ; o seu Anexo I detalha o conteúdo obrigatório destes certificados. Os PSCo qualificados beneficiam de uma presunção de conformidade com as exigências técnicas e jurídicas do regulamento (artigo 19§2), o que constitui um trunfo importante em caso de litígio.

Regulamento eIDAS 2.0 — (UE) 2024/1183

Publicado em 30 de abril de 2024, este regulamento modificativo introduz novas categorias de serviços de confiança (atestados de atributos qualificados, serviços de arquivo qualificados) e reforça as obrigações de supervisão. Revoga e substitui parcialmente o regulamento 910/2014, com aplicabilidade progressiva de acordo com os actos de execução da Comissão Europeia.

RGPD — Regulamento (UE) 2016/679

O RGPD aplica-se a qualquer tratamento de dados pessoais realizado no âmbito de um serviço de assinatura eletrônica. Os artigos 5 (princípios de legalidade), 6 (base legal), 9 (dados sensíveis), 13-14 (informação), 28 (subcontratação), 32 (segurança), 33-34 (notificação de violação), 35 (AIPD) e 37 (DPO) constituem as disposições mais frequentemente aplicáveis. A CNIL é a autoridade de controlo competente em França e pode aplicar multas até 20 milhões de euros ou 4 % da receita anual mundial (artigo 83§5 RGPD).

Diretiva NIS2 — (UE) 2022/2555

Transposta para o direito francês pela lei n.º 2023-703 de 1 de agosto de 2023, NIS2 classifica os PSCo significativos entre as entidades importantes ou essenciais sujeitas a obrigações de gestão de riscos cyber e notificação de incidentes à ANSSI em 24 horas (alerta precoce) depois 72 horas (notificação completa).

Normas ETSI

O conjunto das normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 e TS 119 431 constitui a referência técnica obrigatória para a auditoria de qualificação. O seu incumprimento acarreta a impossibilidade de obter ou manter o estatuto qualificado.

Riscos jurídicos em caso de não-conformidade

Um prestatário não conforme expõe-se a : remoção da TSL francesa, responsabilidade contratual e extracontratual, sanções administrativas CNIL, multas NIS2 que podem chegar a 10 milhões de euros ou 2 % da receita mundial para entidades importantes e 20 milhões ou 4 % da receita para entidades essenciais, bem como recursos judiciais de clientes que sofreram prejuízo devido a assinaturas juridicamente não válidas.

Cenários de utilização : como as empresas verificam a conformidade do seu PSCo

Cenário 1 — Um grupo industrial gerindo 3 000 contratos fornecedores por ano

Um grupo industrial de tamanho intermédio (PME), ativo na fabricação de equipamentos mecânicos, desmaterializa o conjunto dos seus contratos fornecedores através de uma plataforma SaaS de assinatura eletrônica. Durante uma auditoria interna desencadeada após uma evolução regulatória, a direção jurídica constata que o prestatário retido — inicialmente escolhido por critério de preço — não está referenciado na TSL francesa nem em nenhuma TSL europeia. As assinaturas entregues são do tipo « simples » sem mecanismo robusto de identificação do signatário.

Face ao risco jurídico — o conjunto dos contratos assinados poderia ver o seu valor probante contestado em caso de litígio — a empresa inicia uma migração para um PSCo qualificado ANSSI. A nova solução integra uma assinatura avançada com certificado qualificado, uma marcação temporal qualificada e uma pista de auditoria exportável. O projeto de migração, realizado em menos de 8 semanas, permite assegurar retroativamente os novos actos e estabelecer uma política documentária conforme. As equipas jurídicas estimam que o risco contencioso ligado aos antigos contratos permanece marginal em razão da sua execução sem contestação, mas toda a nova assinatura é doravante coberta.

Ganhos observados : redução de 60 % dos litígios potenciais ligados à autenticidade das assinaturas, e ganho de 3,5 dias de prazo médio de assinatura nos contratos complexos graças à automatização do workflow de validação.

Cenário 2 — Um escritório de advocacia com 25 colaboradores especializado em direito dos negócios

Um escritório de advocacia que deseja digitalizar a assinatura de mandatos, consultas e actos de procedimento avalia vários prestatários. A sua grelha de análise integra os seguintes critérios : presença na TSL, publicação de um PC/DPC acessível, existência de um DPA conforme RGPD, disponibilidade de um DPO contactável e certificação dos QSCD à distância.

Dos cinco prestatários avaliados, apenas dois satisfazem o conjunto dos critérios. O escritório retém finalmente um PSCo que oferece nativamente uma assinatura qualificada via QSCD à distância, garantindo a presunção de fiabilidade do artigo 1367 do Código Civil. A implementação leva 3 semanas, formação incluída. Resultado : 75 % dos mandatos são agora assinados em menos de 24 horas contra 5 a 7 dias anteriormente (envio por correio), e o escritório pode justificar aos seus clientes o nível de segurança jurídica oferecido pela solução — um argumento diferenciador nas suas propostas comerciais.

Cenário 3 — Um agrupamento hospitalar com cerca de 1 200 camas

Um agrupamento hospitalar público pretende desmaterializar contratos de trabalho, convenções de estágio e acordos de parceria com estabelecimentos de cuidados parceiros. A sensibilidade dos dados tratados (dados de saúde dos profissionais de enfermagem, dados RH) impõe uma vigilância particular sobre as obrigações RGPD do PSCo.

A DSI e o DPO do estabelecimento exigem : alojamento de dados em França junto de um fornecedor de dados de saúde certificado HDS (Fornecedor de Dados de Saúde, certificação prevista pelo artigo L.1111-8 do Código de Saúde Pública), ausência de transferência fora do EEE, AIPD documentada para o tratamento de identificação de signatários, e DPA assinado antes de qualquer colocação em produção.

Após seleção de um PSCo correspondendo a estes critérios, o deployment cobre em prioridade os contratos RH (aproximadamente 800 actos por ano). O prazo médio de assinatura dos contratos de duração determinada passa de 9 dias para menos de 48 horas, liberando uma capacidade significativa para as equipas de recursos humanos. O estabelecimento dispõe além disso de uma rastreabilidade completa dos consentimentos recolhidos, auditada anualmente pelo seu DPO.

Conclusão

As obrigações legais pesando sobre os prestatários de assinatura eletrônica em França formam um corpus normativo exigente : qualificação eIDAS, conformidade RGPD, cumprimento das normas ETSI, obrigações NIS2 e adaptação iminent eIDAS 2.0. Para as empresas utilizadoras, assegurar-se da conformidade do seu PSCo não é uma iniciativa opcional — é uma condição sine qua non do valor probante dos actos assinados e da proteção dos dados pessoais dos signatários.

Certyneo é um prestatário de assinatura eletrônica concebido para responder ao conjunto destas exigências : conformidade eIDAS, RGPD por conceção, alojamento soberano e roadmap eIDAS 2.0 documentada. Pronto para assegurar as suas assinaturas em total conformidade ? Contacte-nos e beneficie de um acompanhamento personalizado desde o primeiro dia.