Obrigações do prestador de assinatura eletrônica em França

Introdução

Implantar uma solução de assinatura eletrônica em França não se improvisa. Por trás de cada assinatura qualificada ou avançada ocultam-se dezenas de obrigações legais que incumbem ao prestador de serviços de confiança (PSCo). Regulamento eIDAS, RGPD, referencial geral de segurança, normas ETSI… o marco regulatório é simultaneamente denso e evolutivo. Para as empresas utilizadoras, compreender estas obrigações legais prestador assinatura eletrônica França eIDAS RGPD é indispensável para escolher um parceiro conforme e evitar qualquer risco jurídico. Este artigo detalha, secção por secção, o conjunto das exigências aplicáveis aos PSCo operando no território francês.

---

O estatuto de prestador de serviços de confiança qualificado

O que é um PSCo no sentido do eIDAS?

O regulamento eIDAS n.º 910/2014 distingue duas categorias de prestadores: os prestadores de serviços de confiança não qualificados e os prestadores qualificados (PSCQ). Os primeiros podem propor serviços de assinatura eletrônica simples ou avançada sem auditoria de terceiros obrigatória. Os segundos — únicos autorizados a entregar assinaturas qualificadas no sentido do artigo 3(15) do eIDAS — devem satisfazer exigências consideravelmente mais rigorosas.

Em França, é a Agência Nacional de Segurança dos Sistemas de Informação (ANSSI) que desempenha o papel de autoridade de supervisão (« Supervisory Body ») previsto pelo artigo 17 do eIDAS. Publica e mantém a lista de confiança francesa (TSL — Trust Service List), acessível no seu sítio oficial, listando os prestadores qualificados e os seus serviços.

O procedimento de qualificação: auditoria e conformidade

Para obter o estatuto qualificado, um PSCo deve obrigatoriamente:

• Fazer auditar os seus serviços por um organismo de avaliação da conformidade (CAB — Conformity Assessment Body) acreditado pelo COFRAC de acordo com a norma EN ISO/IEC 17065.

• Apresentar o relatório de auditoria à ANSSI, que se pronuncia sobre a concessão do estatuto qualificado. Este estatuto é reavaliado no mínimo a cada 24 meses (artigo 20 §1 eIDAS).

• Notificar a ANSSI de qualquer alteração substancial nos seus serviços no prazo de 3 meses antes da modificação prevista (artigo 21 eIDAS).

O incumprimento destas etapas expõe o prestador a uma remoção da TSL e à perda das presunções jurídicas ligadas à assinatura qualificada. Para as empresas clientes, recorrer a um PSCo não listado na TSL equivale a não beneficiar de nenhuma presunção legal de fiabilidade.

> Para aprofundar sobre os diferentes níveis de assinatura e os seus efeitos jurídicos, consulte o nosso guia completo do regulamento eIDAS 2.0.

---

Obrigações técnicas e de segurança impostas aos PSCo

Conformidade com as normas ETSI

Os prestadores qualificados devem estar em conformidade com um conjunto de normas europeias publicadas pelo Instituto Europeu de Normas de Telecomunicações (ETSI). As principais são:

• ETSI EN 319 401: exigências gerais de segurança aplicáveis a todos os PSCo.

• ETSI EN 319 411-1 e 411-2: políticas e práticas das autoridades de certificação que entregam certificados de assinatura qualificada.

• ETSI EN 319 132: formatos de assinatura eletrônica avançada (XAdES para XML, PAdES para PDF, CAdES para CMS).

• ETSI EN 319 122: formato CAdES para assinaturas qualificadas.

• ETSI TS 119 431: exigências para serviços de criação de assinatura à distância (QSCD distante).

Estas normas não são opcionais: o regulamento eIDAS (Anexo II, III e IV) refere-se explicitamente a elas para definir as exigências mínimas dos certificados qualificados e dos dispositivos de criação de assinatura.

Gestão dos dispositivos seguros de criação de assinatura (QSCD)

Um dos pilares da assinatura qualificada é a utilização de um dispositivo seguro de criação de assinatura (QSCD — Qualified Signature Creation Device) em conformidade com o Anexo II do eIDAS. O prestador deve garantir que:

• A chave privada do signatário não pode ser gerada, armazenada ou copiada fora do QSCD.

• A geração da chave é realizada exclusivamente num ambiente certificado (certificação Common Criteria EAL 4+ ou equivalente).

• A autenticação do signatário precedendo qualquer ato de assinatura assenta em no mínimo dois fatores de autenticação.

Num contexto de assinatura à distância — cada vez mais predominante nos ambientes SaaS — estas exigências aplicam-se ao servidor HSM (Hardware Security Module) que aloja as chaves. A ANSSI publicou perfis de proteção específicos (PP-0075, PP-0076) definindo os critérios de segurança a atingir.

Política de continuidade e notificação de incidentes

O artigo 19 do eIDAS impõe a todos os prestadores de serviços de confiança (qualificados ou não) que:

• Notifiquem a autoridade de supervisão (ANSSI) e, se aplicável, a autoridade de proteção de dados (CNIL), no prazo de 24 horas após a detecção de uma violação de segurança suscetível de impactar a fiabilidade do serviço.

• Mantenham um plano de continuidade de negócios documentado e testado regularmente.

• Disponham de uma política de segurança da informação formalizada, cobrindo nomeadamente a gestão de riscos, a gestão de incidentes e a política de cópia de segurança.

Estas exigências sobrepõem-se parcialmente com as da diretiva NIS2 (2022/2555/UE), transposta para a legislação francesa pela lei n.º 2023-703 de 1 de agosto de 2023, que classifica os PSCo de dimensão significativa entre as entidades importantes ou essenciais sujeitas a obrigações reforçadas de cibersegurança.

> Descubra como a assinatura eletrônica para gabinetes jurídicos deve integrar estes constrangimentos nos seus fluxos documentários.

---

Obrigações RGPD específicas aos PSCo

O PSCo, responsável pelo tratamento ou subcontratado?

A qualificação RGPD do prestador depende da natureza do serviço prestado:

• Quando o PSCo entrega diretamente certificados qualificados em nome do signatário e determina as finalidades do tratamento de dados pessoais (identidade, dados biométricos de autenticação), atua como responsável pelo tratamento no sentido do artigo 4(7) RGPD.

• Quando integra a sua API na plataforma de um cliente B2B e trata os dados pessoais segundo as únicas instruções deste cliente, reveste-se da qualidade de subcontratado (artigo 4(8) RGPD) e deve obrigatoriamente celebrar um DPA (Data Processing Agreement) conforme o artigo 28 RGPD.

Na prática, a maioria dos PSCo SaaS acumulam ambas as qualidades: responsável pela gestão da sua própria infraestrutura de certificação, subcontratado para o tratamento de documentos e metadados dos signatários.

Obrigações específicas ligadas aos dados biométricos e de identidade

A identificação e autenticação do signatário — etapa obrigatória para entregar um certificado qualificado — implica frequentemente o tratamento de dados sensíveis: escaneamento de documento de identidade, selfie vídeo, dados biométricos de reconhecimento facial. Estes dados constituem dados pessoais sujeitos ao RGPD, ou mesmo dados biométricos abrangidos pelo artigo 9 RGPD (categorias especiais).

As obrigações do PSCo incluem:

• Base legal: o consentimento explícito (artigo 9§2a) ou, em certos casos, a obrigação legal (artigo 9§2b) para o tratamento de dados biométricos.

• Duração de conservação limitada: de acordo com as orientações CNIL, os dados de identificação devem ser conservados o tempo estritamente necessário, geralmente alinhado com a duração de validade do certificado + duração legal de prova (frequentemente 10 anos para atos sob assinatura privada, artigo 2224 do Código Civil).

• Análise de impacto (AIPD) obrigatória (artigo 35 RGPD) logo que o tratamento seja suscetível de engendrar um risco elevado — o que é sistematicamente o caso da biometria.

• Registo de tratamentos (artigo 30 RGPD) mantido atualizado e documentando cada categoria de tratamento.

Transferências internacionais de dados

Muitos são os PSCo que alojam toda ou parte da sua infraestrutura fora do Espaço Económico Europeu (EEE). Neste caso, as garantias apropriadas exigidas pelo capítulo V RGPD impõem-se: decisão de adequação, cláusulas contratuais tipo (SCCs) da Comissão Europeia ou regras vinculativas da empresa (BCR). O acórdão Schrems II (CJUE, C-311/18, 16 de julho de 2020) recordou que as transferências para os Estados Unidos requerem uma análise prévia de risco país.

> Para compreender o impacto destas regras na sua organização, consulte o nosso guia sobre assinatura eletrônica na empresa.

---

Obrigações de transparência e informação aos utilizadores

Política de Certificação (PC) e Declaração das Práticas de Certificação (DPC)

Todos os PSCo que entregam certificados são obrigados a publicar uma Política de Certificação (PC) e uma Declaração das Práticas de Certificação (DPC), em conformidade com a norma ETSI EN 319 411. Estes documentos, livremente acessíveis, detalham:

• Os procedimentos de identificação e registo dos signatários.

• As medidas de segurança física e lógica implementadas.

• As condições de revogação de certificados e os prazos associados.

• As responsabilidades e limitações de garantia do PSCo.

A ausência ou incompletude destes documentos constitui uma não-conformidade suscetível de ser identificada durante a auditoria de requalificação pelo organismo acreditado.

Informação pré-contratual e contratual dos clientes

Para além das obrigações puramente técnicas, o artigo 13 RGPD impõe ao PSCo fornecer a cada pessoa cujos dados são recolhidos uma informação clara e acessível sobre:

• A identidade do responsável pelo tratamento e os contactos do DPO (obrigatório para os PSCo que tratam em larga escala dados sensíveis, artigo 37 RGPD).

• As finalidades e bases legais de cada tratamento.

• Os direitos das pessoas (acesso, retificação, apagamento, portabilidade, oposição).

• Os eventuais destinatários dos dados (subcontratados, autoridades).

Esta informação deve constar na política de privacidade do serviço, nas CGU e, se aplicável, no DPA celebrado com os clientes profissionais.

Carimbo de tempo qualificado e pista de auditoria

Para garantir o valor probante a longo prazo das assinaturas, os PSCo sérios associam sistematicamente um carimbo de tempo eletrônico qualificado (artigo 42 eIDAS) a cada ato assinado. Este carimbo constitui uma prova legalmente presumida da existência do dado na data indicada. A conservação da pista de auditoria (registos de identificação, impressão digital do documento, dados da assinatura) é uma obrigação de facto para permitir qualquer verificação judicial ulterior.

> Compare as soluções do mercado segundo estes critérios no nosso comparativo de soluções de assinatura eletrônica.

---

eIDAS 2.0: as novas obrigações no horizonte 2026-2027

O regulamento eIDAS 2.0 (UE) 2024/1183

Publicado no Jornal Oficial da UE em 30 de abril de 2024, o regulamento (UE) 2024/1183 denominado « eIDAS 2.0 » reforça significativamente as obrigações dos PSCo em torno de três eixos:

• A Carteira Europeia de Identidade Numérica (EUDI Wallet): os Estados-membros devem disponibilizar uma carteira de identidade numérica certificada até 2 de novembro de 2026. Os PSCo terão de integrar o seu serviço com esta carteira para propor assinaturas qualificadas via identidade eIDAS 2.0.

• A gestão de atestados de atributos: eIDAS 2.0 introduz os atestados de atributos qualificados (QEAAs), entregues por prestadores qualificados de atestação. Novos procedimentos de auditoria e qualificação aplicar-se-ão.

• O reforço da supervisão: as autoridades nacionais de supervisão (ANSSI para França) veem os seus poderes alargados, nomeadamente a capacidade de efetuar auditorias inopinadas e de impor medidas corretivas vinculativas em prazos reduzidos.

Implicações práticas para os prestadores atuais

Os PSCo já qualificados sob eIDAS 1.0 terão de proceder a uma conformidade progressiva antes das datas limite fixadas pelos atos de execução da Comissão (publicados ou em curso de publicação). As principais adaptações preocupam:

• A reformulação da infraestrutura de identificação para suportar a EUDI Wallet como meio de autenticação.

• A atualização das PC/DPC para integrar as novas tipologias de certificados e atestados.

• O reforço das exigências de segurança dos QSCD distantes, com novos perfis de proteção em breve.

Para as empresas clientes, isto significa verificar desde já que o seu prestador dispõe de uma roadmap de conformidade eIDAS 2.0 documentada e verificável.

Marco legal aplicável às obrigações dos prestadores de assinatura eletrônica

A cadeia normativa aplicável aos prestadores de assinatura eletrônica operando em França articula-se sobre vários níveis hierárquicos complementares.

Código Civil Francês — Artigos 1366 e 1367

O artigo 1366 do Código Civil reconhece o escrito eletrônico como modo de prova equivalente ao escrito em papel, desde que « possa ser devidamente identificada a pessoa de quem emana e seja estabelecido e conservado em condições capazes de garantir a sua integridade ». O artigo 1367 precisa que a assinatura eletrônica « consiste no uso de um processo fiável de identificação garantindo a sua ligação ao ato a que se reporta ». A presunção de fiabilidade beneficia às assinaturas qualificadas no sentido do eIDAS, invertendo o ónus da prova a favor do signatário.

Regulamento eIDAS n.º 910/2014/UE

Este regulamento, de aplicação direta em todos os Estados-membros, estabelece o marco jurídico dos serviços de confiança. O seu artigo 26 define as condições da assinatura eletrônica avançada; o seu artigo 28 as exigências dos certificados qualificados; o seu Anexo I detalha o conteúdo obrigatório destes certificados. Os PSCo qualificados beneficiam de uma presunção de conformidade com as exigências técnicas e jurídicas do regulamento (artigo 19§2), o que constitui um trunfo importante em caso de litígio.

Regulamento eIDAS 2.0 — (UE) 2024/1183

Publicado em 30 de abril de 2024, este regulamento modificativo introduz novas categorias de serviços de confiança (atestados de atributos qualificados, serviços de arquivamento qualificados) e reforça as obrigações de supervisão. Revoga e substitui parcialmente o regulamento 910/2014, com uma aplicabilidade progressiva de acordo com os atos de execução da Comissão Europeia.

RGPD — Regulamento (UE) 2016/679

O RGPD aplica-se a qualquer tratamento de dados pessoais realizado no âmbito de um serviço de assinatura eletrônica. Os artigos 5 (princípios de legalidade), 6 (base legal), 9 (dados sensíveis), 13-14 (informação), 28 (subcontratação), 32 (segurança), 33-34 (notificação de violação), 35 (AIPD) e 37 (DPO) constituem as disposições mais frequentemente aplicáveis. A CNIL é a autoridade de controlo competente em França e pode impor multas até 20 milhões de euros ou 4% da receita comercial mundial anual (artigo 83§5 RGPD).

Diretiva NIS2 — (UE) 2022/2555

Transposta para a legislação francesa pela lei n.º 2023-703 de 1 de agosto de 2023, NIS2 classifica os PSCo significativos entre as entidades importantes ou essenciais sujeitas a obrigações de gestão de riscos cibernéticos e notificação de incidentes à ANSSI sob 24 horas (alerta precoce) depois 72 horas (notificação completa).

Normas ETSI

O conjunto das normas EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 e TS 119 431 constitui a referência técnica obrigatória para a auditoria de qualificação. O seu incumprimento acarreta a impossibilidade de obter ou manter o estatuto qualificado.

Riscos jurídicos em caso de não-conformidade

Um prestador não conforme expõe-se a: remoção da TSL francesa, engajamento da sua responsabilidade contratual e extracontratual, sanções administrativas CNIL, multas NIS2 podendo atingir 10 milhões de euros ou 2% do CA mundial para as entidades importantes e 20 milhões ou 4% do CA para as entidades essenciais, bem como a reclamações judiciais dos clientes que tenham sofrido danos pela falta de validade jurídica das assinaturas.

Cenários de utilização: como as empresas verificam a conformidade do seu PSCo

Cenário 1 — Um grupo industrial gerindo 3 000 contratos de fornecedores por ano

Um grupo industrial de dimensão média (ETI), ativo na fabricação de equipamentos mecânicos, desmaterializa o conjunto dos seus contratos de fornecedores via uma plataforma SaaS de assinatura eletrônica. Durante uma auditoria interna desencadeada após uma evolução regulatória, a direção jurídica constata que o prestador retido — inicialmente escolhido por critério de preço — não está referenciado nem na TSL francesa, nem em nenhuma TSL europeia. As assinaturas entregues são do tipo « simples » sem mecanismo robusto de identificação do signatário.

Face ao risco jurídico — o conjunto dos contratos assinados poderia ver o seu valor probante contestado em caso de litígio — a empresa inicia uma migração para um PSCo qualificado ANSSI. A nova solução integra uma assinatura avançada com certificado qualificado, um carimbo de tempo qualificado e uma pista de auditoria exportável. O projeto de migração, realizado em menos de 8 semanas, permite securizar retroativamente os novos atos e estabelecer uma política documentária conforme. As equipas jurídicas estimam que o risco contencioso ligado aos antigos contratos permanece marginal pelo facto da sua execução sem contestação, mas toda a nova assinatura está agora coberta.

Ganhos observados: redução de 60% dos litígios potenciais ligados à autenticidade das assinaturas, e ganho de 3,5 dias de prazo médio de assinatura nos contratos complexos graças à automatização do fluxo de validação.

Cenário 2 — Um gabinete de advogados de 25 colaboradores especializado em direito comercial

Um gabinete de advogados desejando digitalizar a assinatura de mandatos, de consultas e de atos processuais avalia vários prestadores. A sua grelha de análise integra os seguintes critérios: presença na TSL, publicação de PC/DPC acessível, existência de DPA conforme RGPD, disponibilidade de um DPO contactável e certificação dos QSCD distantes.

De entre cinco prestadores avaliados, apenas dois satisfazem o conjunto dos critérios. O gabinete retém finalmente um PSCo propondo nativelmente uma assinatura qualificada via QSCD distante, garantindo a presunção de fiabilidade do artigo 1367 do Código Civil. A implementação demora 3 semanas, formação incluída. Resultado: 75% dos mandatos são agora assinados em menos de 24 horas contra 5 a 7 dias anteriormente (envio postal), e o gabinete pode justificar aos seus clientes o nível de segurança jurídica oferecido pela solução — um argumento diferenciador nas suas propostas comerciais.

Cenário 3 — Um agrupamento hospitalar de aproximadamente 1 200 camas

Um agrupamento hospitalar público deseja desmaterializar os contratos de trabalho, as convenções de estágio e os acordos de parceria com estabelecimentos de cuidados parceiros. A sensibilidade dos dados tratados (dados de saúde dos profissionais de saúde, dados RH) impõe uma vigilância particular sobre as obrigações RGPD do PSCo.

A DSI e o DPO do estabelecimento exigem: alojamento dos dados em França junto de um provedor de dados de saúde certificado HDS (Hébergeur de Données de Santé, certificação prevista pelo artigo L.1111-8 do Código de Saúde Pública), ausência de transferência fora do EEE, AIPD documentada para o tratamento de identificação dos signatários, e DPA assinado antes de qualquer colocação em produção.

Após seleção de um PSCo respondendo a estes critérios, o desdobramento cobre em prioridade os contratos RH (aproximadamente 800 atos por ano). O prazo médio de assinatura dos contratos a termo determinado passa de 9 dias a menos de 48 horas, libertando uma capacidade significativa para as equipas de recursos humanos. O estabelecimento dispõe além disso de uma rastreabilidade completa dos consentimentos recolhidos, auditada anualmente pelo seu DPO.

Conclusão

As obrigações legais pesando sobre os prestadores de assinatura eletrônica em França formam um corpo normativo exigente: qualificação eIDAS, conformidade RGPD, respeito pelas normas ETSI, obrigações NIS2 e adaptação imediata a eIDAS 2.0. Para as empresas utilizadoras, garantir a conformidade do seu PSCo não é uma abordagem opcional — é uma condição sine qua non do valor probante dos atos assinados e da proteção dos dados pessoais dos signatários.

Certyneo é um prestador de assinatura eletrônica concebido para responder ao conjunto destas exigências: conformidade eIDAS, RGPD by design, alojamento soberano e roadmap eIDAS 2.0 documentada. Pronto para securizar as suas assinaturas em total conformidade? Solicite uma demonstração ou crie a sua conta na Certyneo e beneficie de um acompanhamento personalizado desde o primeiro dia.