Conformitatea eIDAS pentru IMM-uri: lista de verificare completă pentru 2026

Regulamentul european eIDAS (UE nr. 910/2014, care va fi modificat în curând prin eIDAS 2.0) reglementează semnăturile electronice în întreaga Uniune Europeană. Pentru un IMM, respectarea nu este doar o căsuță de bifat: este garanția că contractele sale sunt executorii, că datele sale de semnătură sunt protejate și că se protejează împotriva riscurilor legale care pot fi costisitoare. Iată lista de verificare pentru 2026 în 12 puncte concrete pentru a verifica dacă IMM-ul dumneavoastră este pe deplin compatibil cu eIDAS.

Punctul 1: alegeți nivelul corect de semnătură

Primul reflex: mapați tipurile de contract și asociați un nivel țintă. Contracte comerciale standard (cotații, comenzi de cumpărare, NDA-uri simple): SES este suficient. Contracte de muncă, leasing, NDA-uri sensibile, acorduri strategice: AES minim, de preferință cu OTP SMS. Acte reglementate (avocat, notar, contracte publice peste un prag): QES obligatoriu. Fără această mapare, riscați să subdimensionați (contract refuzat) sau să supradimensionați (cost excesiv).

Punctul 2: verificați calificarea furnizorului de servicii

Furnizorul dvs. de servicii trebuie să fie un furnizor de servicii de încredere (QTSP) sau să se bazeze pe un QTSP pentru nivelurile AES/QES. Consultați Lista serviciilor de încredere publicată de ANSSI (eidas.ssi.gouv.fr) și Lista europeană de încredere (webgate.ec.europa.eu/tl-browser). QTSP-urile de referință franceze: Certigna, Docaposte, Certinomis, Universign. Pentru SES/AES prin platformă (Certyneo, Yousign etc.), verificați conformitatea lor documentată în mod explicit cu eIDAS.

Punctul 3: Testați pista de audit

Semnați un plic de testare și colectați traseul de audit (de obicei un PDF separat). Acesta trebuie să conțină: identitatea și emailul semnatarului, marcajul de timp al fiecărui pas (trimitere, deschidere, validare, semnătură), adresa IP, agent utilizator, hash al documentului, validare OTP dacă AES. Dacă unul dintre aceste elemente lipsește, valoarea probatorie este slăbită. Certyneo oferă o pistă completă de audit chiar și pe un plan gratuit.

Punctul 4: controlați marca temporală

Marcajul temporal trebuie emis de o Autoritate de marcare temporală (TSA) compatibilă cu RFC 3161. Un marcaj temporal pur și simplu de la un server NTP al companiei nu este suficient. Deschideți PDF-ul semnat în Adobe Reader: fila Semnături → Detalii → Timp. Ar trebui să vedeți un certificat TSA valid și un ceas certificat acolo. Dacă PDF-ul nu are un marcaj de timp certificat, dați înapoi la alegerea furnizorului de servicii.

Punctul 5: arhivare minim 10 ani

Codul comercial (articolul L. 123-22) impune 10 ani de păstrare a documentelor comerciale. Codul Muncii impune 5 ani pentru contractele de muncă post-încetare. Arhivarea trebuie să păstreze integritatea (hash, sigilare) și accesul. Ideal: format PDF/A (ISO 19005), stocare dublă (backup primar + off-site), seif electronic calificat (CFE) pentru dovezi maxime. Certyneo arhivează 10 ani în mod implicit și oferă export partenerilor CFE.

Punctul 6: verificați localizarea datelor

Unde sunt găzduite datele dvs. de semnătură? Pentru un IMM francez care se ocupă de contracte sensibile, alegeți găzduirea franceză sau UE. Solicitați furnizorului dvs. de servicii lista subcontractanților și locația acestora (articolul 28 GDPR). Evitați soluțiile care fac obiectul legii US Cloud pentru contracte strategice. Certyneo este găzduit în Franța, fără dependență de Cloud Act. Vezi articolul nostru pe /blog/cloud-act-signature-electronique.

Punctul 7: articulează cu GDPR

Semnătura și GDPR sunt strâns legate: fiecare plic conține date personale (nume, e-mail, IP, telefon). Asigurați-vă că registrul dumneavoastră de prelucrare (art. 30 GDPR) include semnătura electronică, că perioadele de păstrare sunt consecvente (10 ani), și că drepturile persoanelor fizice pot fi implementate (acces, rectificare, portabilitate). Dacă solicitați o mulțime de semnături, este recomandat un DPO. Vezi articolul nostru /blog/signature-electronique-rgpd.

Punctul 8: identificați semnatarii în amonte

Pentru un AES solid, identificarea nu începe cu semnarea: începe cu colectarea datelor. Verificați e-mailurile (fără aliasuri, fără listă de corespondență), numerele de telefon (fără linie partajată) și ține evidența sursei de identificare (ID pentru contracte grele, KYC client existent pentru contractele în derulare). Această diligență face dovezile solide în cazul unei dispute.

Punctul 9: antrenează echipele

Echipele dvs. de vânzări, resurse umane și juridice trebuie să înțeleagă regulile: nu forțați niciodată un semnatar să folosească un dispozitiv terță parte, nu returnați niciodată un PDF semnat modificat, nu lipiți niciodată o imagine de semnătură scanată în locul unei semnături reale. O oră de antrenament per echipă este suficientă pentru a insufla reflexe bune. Certyneo oferă un ghid complet de partajare intern (/resurse).

Punctul 10: verifica contractele prestatorilor de servicii

CGU/CGV al furnizorului de servicii de semnătură trebuie: să inițieze conformitatea cu eIDAS, să precizeze perioadele de arhivare, să includă un acord de subcontractare GDPR (art. 28), să documenteze subcontractanții, să furnizeze un plan de reversibilitate în caz. Solicitați și SOC 2 Type II sau echivalent dacă procesați volume mari. Pentru Certyneo, aceste documente sunt disponibile pe /legal și /security.

Punctul 11: pregătiți eIDAS 2.0 și portofelul EUDI

Regulamentul eIDAS 2.0 (UE 2024/1183) intră în vigoare treptat și impune statelor membre să implementeze un portofel EUDI înainte de sfârșitul anului 2026. Acest birou de identitate digitală QES nu va permite accesul de la distanță la un portofel fizic QES fără înregistrare. Pregătiți-vă IMM-ul: verificați dacă furnizorul dvs. de servicii are o foaie de parcurs EUDI Wallet, urmați comunicările de la ANSSI și Comisia Europeană. Vezi /blog/eidas-2-nouveau-reglement-2026.

Punctul 12: auditare anual

Conformitatea nu este un statut dobândit: este un proces continuu. Programați un audit anual (intern sau extern) pentru a verifica: modificările de reglementare, evoluțiile furnizorilor de servicii, maparea actualizată a tipurilor de contracte, reținerea efectivă, instruirea noilor recruți. Un audit ușor durează o jumătate de zi pentru un IMM și evită multe surprize. Începeți prin a crea un cont Certyneo gratuit la certyneo.com/signup pentru a testa conformitatea în lumea reală, apoi consultați ghidul nostru eIDAS pentru a explora mai profund (/guide/eidas).