Obligațiile furnizorilor de servicii de semnătură electronică în Franța

Introducere

Implementarea unei soluții de semnătură electronică în Franța nu se improvizează. În spatele fiecărei semnături calificate sau avansate se ascund zeci de obligații legale care îi incumbă furnizorului de servicii de încredere (PSCo). Regulamentul eIDAS, RGPD, referențialul general de securitate, standardele ETSI... cadrul reglementar este atât dens cât și evoliv. Pentru întreprinderile utilizatoare, înțelegerea acestor obligații legale furnizor semnătură electronică Franța eIDAS RGPD este indispensabilă pentru a alege un partener conform și a evita orice risc juridic. Acest articol detaliază, secțiune după secțiune, ansamblul cerințelor aplicabile PSCo-urilor care operează pe teritoriul francez.

---

Statutul furnizorului calificat de servicii de încredere

Ce este un PSCo conform eIDAS?

Regulamentul eIDAS nr. 910/2014 distinge două categorii de furnizori: furnizorii necalificați de servicii de încredere și furnizorii calificați (PSCQ). Primii pot oferi servicii de semnătură electronică simplă sau avansată fără audit terț obligatoriu. Cei din urmă — singurii autorizați să emită semnături calificate în sensul articolului 3(15) al eIDAS — trebuie să îndeplinească cerințe considerabil mai stricte.

În Franța, Agenția Națională pentru Securitatea Sistemelor Informatice (ANSSI) îndeplinește rolul de autoritate de supraveghere (« Supervisory Body ») prevăzut de articolul 17 al eIDAS. Ea publică și menține lista de încredere franceză (TSL — Trust Service List), accesibilă pe site-ul oficial, enumerând furnizorii calificați și serviciile acestora.

Procedura de calificare: audit și conformitate

Pentru a obține statutul calificat, un PSCo trebuie obligatoriu să:

• Facă auditul serviciilor sale de către un organism de evaluare a conformității (CAB — Conformity Assessment Body) acreditat de COFRAC conform normei EN ISO/IEC 17065.

• Să înainteze raportul de audit ANSSI, care decide acordarea statutului calificat. Acest statut este reevaluat cel puțin la fiecare 24 de luni (articolul 20 §1 eIDAS).

• Să notifice ANSSI orice schimbare substanțială în serviciile sale în termen de 3 luni înainte de modificarea prevăzută (articolul 21 eIDAS).

Nerespectarea acestor pași expune furnizorul la ștergerea din TSL și la pierderea prezumțiilor juridice ataşate semnăturii calificate. Pentru întreprinderile clienți, recurgerea la un PSCo nelisted pe TSL revine la a nu beneficia de nicio prezumție legală de fiabilitate.

> Pentru a afla mai multe despre diferitele niveluri de semnătură și efectele acestora juridice, consultați articolul nostru.

---

Obligații tehnice și de securitate impuse PSCo-urilor

Respectarea standardelor ETSI

Furnizorii calificați trebuie să se conformeze unui set de norme europene publicate de European Telecommunications Standards Institute (ETSI). Principalele sunt:

• ETSI EN 319 401: cerințe generale de securitate aplicabile tuturor PSCo-urilor.

• ETSI EN 319 411-1 și 411-2: politici și practici ale autorităților de certificare care emit certificatele de semnătură calificată.

• ETSI EN 319 132: formate de semnătură electronică avansată (XAdES pentru XML, PAdES pentru PDF, CAdES pentru CMS).

• ETSI EN 319 122: format CAdES pentru semnături calificate.

• ETSI TS 119 431: cerințe pentru serviciile de creare a semnăturii la distanță (QSCD distant).

Aceste norme nu sunt opționale: regulamentul eIDAS (Anexa II, III și IV) le referențiază explicit pentru a defini cerințele minime ale certificatelor calificate și ale dispozitivelor de creare a semnăturii.

Gestionarea dispozitivelor securizate de creare a semnăturii (QSCD)

Unul din pilonii semnăturii calificate este utilizarea unui dispozitiv securizat de creare a semnăturii (QSCD — Qualified Signature Creation Device) conform Anexei II a eIDAS. Furnizorul trebuie să garanteze că:

• Cheia privată a semnatarului nu poate fi generată, stocată sau copiată în afara QSCD.

• Generarea cheii se realizează exclusiv într-un mediu certificat (certificare Common Criteria EAL 4+ sau echivalent).

• Autenticarea semnatarului ce precede orice act de semnătură se bazează pe cel puțin doi factori de autentificare.

Într-un context de semnătură la distanță — din ce în ce mai răspândit în mediile SaaS — aceste cerințe se aplică serverului HSM (Hardware Security Module) care găzduiește cheile. ANSSI a publicat profile de protecție specifice (PP-0075, PP-0076) care definesc criteriile de securitate de realizat.

Politică de continuitate și notificare de incidente

Articolul 19 al eIDAS impune oricărui furnizor de servicii de încredere (calificat sau nu) să:

• Notifice autoritatea de supraveghere (ANSSI) și, după caz, autoritatea de protecție a datelor (CNIL), în termen de 24 de ore după detectarea unei încălcări de securitate susceptibilă să afecteze fiabilitatea serviciului.

• Să dețină un plan de continuitate a activității documentat și testat regulat.

• Să dispună de o politică de securitate a informațiilor formalizată, acoperind în special gestionarea riscurilor, gestionarea incidentelor și politica de backup.

Aceste cerințe se suprapun parțial cu cele ale directivei NIS2 (2022/2555/UE), transpusă în dreptul francez prin legea nr. 2023-703 din 1 august 2023, care clasifică PSCo-urile de mărime semnificativă printre entitățile importante sau esențiale supuse unor obligații întărite de securitate cibernetică.

> Aflați cum trebuie să integreze acest tip de constrângeri în fluxurile lor documentare.

---

Obligații RGPD specifice PSCo-urilor

PSCo-ul, responsabil de tratare sau furnizor?

Calificarea RGPD a furnizorului depinde de natura serviciului furnizat:

• Când PSCo-ul emite direct certificatele calificate în numele semnatarului și determină finalitățile prelucrării datelor cu caracter personal (identitate, date biometrice de autentificare), acționează ca responsabil de tratare în sensul articolului 4(7) RGPD.

• Când își integrează API-ul în platforma unui client B2B și prelucrează datele cu caracter personal doar conform instrucțiunilor acestui client, îndeplinește calitatea de furnizor în sensul articolului 4(8) RGPD și trebuie obligatoriu să încheie un DPA (Data Processing Agreement) conform articolului 28 RGPD.

În practică, majoritatea PSCo-urilor SaaS cumulează ambele calități: responsabil pentru gestionarea propriei infrastructuri de certificare, furnizor pentru prelucrarea documentelor și metadatelor semnatarilor.

Obligații specifice legate de datele biometrice și de identitate

Identificarea și autentificarea semnatarului — etapă obligatorie pentru emiterea unui certificat calificat — implică adesea prelucrarea unor date sensibile: scanare a documentului de identitate, selfie video, date biometrice de recunoaștere facială. Aceste date constituie date cu caracter personal supuse RGPD, chiar și date biometrice din articolul 9 RGPD (categorii particulare).

Obligațiile PSCo-ului includ:

• Bază legală: consimțământul explicit (articolul 9§2a) sau, în anumite cazuri, obligația legală (articolul 9§2b) pentru prelucrarea datelor biometrice.

• Durată de conservare limitată: conform orientărilor CNIL, datele de identificare trebuie conservate strictul necesar, de obicei aliniat la durata de valabilitate a certificatului + durată legală de probă (adesea 10 ani pentru actele sub semnătură privată, articolul 2224 din Codul civil).

• Analiză de impact (AIPD) obligatorie (articolul 35 RGPD) imediat ce prelucrarea este susceptibilă să genereze un risc ridicat — ceea ce este sistematic cazul pentru biometrie.

• Registru al prelucrărilor (articolul 30 RGPD) ținut la zi și documentând fiecare categorie de prelucrare.

Transferuri internaționale de date

Mulți PSCo-uri găzduiesc integral sau parțial infrastructura în afara Spațiului Economic European (SEE). În acest caz, garanțiile corespunzătoare cerute de capitolul V RGPD se impun: decizie de adecvare, clauze contractuale standard (SCCs) ale Comisiei europene sau reguli de întreprindere obligatorii (BCR). Decizia Schrems II (CJUE, C-311/18, 16 iulie 2020) a reamintit că transferurile spre Statele Unite necesită o analiză preliminară de risc țară.

> Pentru a înțelege impactul acestor reguli asupra organizației dumneavoastră, consultați articolul nostru.

---

Obligații de transparență și informare către utilizatori

Politică de certificare (PC) și declarație de practici de certificare (DPC)

Orice PSCo care emite certificatele este obligat să publice o Politică de Certificare (PC) și o Declarație de Practici de Certificare (DPC), conform normei ETSI EN 319 411. Aceste documente, liber accesibile, detaliază:

• Procedurile de identificare și înregistrare a semnatarilor.

• Măsurile de securitate fizice și logice implementate.

• Condițiile de revocare a certificatelor și termenele asociate.

• Responsabilitățile și limitele de garanție ale PSCo-ului.

Absența sau incompletitudinea acestor documente constituie o neconformitate susceptibilă de a fi identificată în timpul auditului de renou al stării de calificare de către organismul acreditat.

Informare precontractuală și contractuală a clienților

Dincolo de obligațiile pur tehnice, articolul 13 RGPD impune PSCo-ului să furnizeze fiecărei persoane ale cărei date sunt colectate o informație clară și accesibilă privind:

• Identitatea responsabilului de tratare și coordonatele DPO (obligatoriu pentru PSCo-urile care prelucrează la scară largă date sensibile, articolul 37 RGPD).

• Finalitățile și bazele legale ale fiecărei prelucrări.

• Drepturile persoanelor (acces, rectificare, ștergere, portabilitate, opoziție).

• Posibilii destinatari ai datelor (furnizori, autorități).

Aceste informații trebuie să figureze în politica de confidențialitate a serviciului, în CGU și, după caz, în DPA încheiat cu clienții profesionali.

Marcă de timp calificată și pistă de audit

Pentru a garanta valoarea probantă pe termen lung a semnăturilor, PSCo-urile serioase asociază sistematic unei mărci de timp electronice calificate (articolul 42 eIDAS) fiecare act semnat. Această marcă de timp constituie o probă legal prezumată a existenței datei la data indicată. Conservarea pistei de audit (jurnale de identificare, amprenta documentului, date ale semnăturii) este o obligație de fapt pentru a permite orice verificare judiciară ulterioară.

> Comparați soluțiile pieței conform acestor criterii în articolul nostru.

---

eIDAS 2.0: noile obligații pe orizontul 2026-2027

Regulamentul eIDAS 2.0 (UE) 2024/1183

Publicat în Jurnalul Oficial al UE la 30 aprilie 2024, regulamentul (UE) 2024/1183 denumit « eIDAS 2.0 » întărește semnificativ obligațiile PSCo-urilor în jurul a trei axe:

• Portofelul European de Identitate Digitală (EUDI Wallet): statele membre trebuie să pună la dispoziție un portofel de identitate digitală certificat până la 2 noiembrie 2026. PSCo-urile vor trebui să-și integreze serviciul cu acest portofel pentru a oferi semnături calificate prin identitatea eIDAS 2.0.

• Gestionarea atestărilor de atribute: eIDAS 2.0 introduce atestări de atribute calificate (QEAAs), emise de furnizori calificați de atestări. Vor aplica noi proceduri de audit și de calificare.

• Întărirea supravegherii: autoritățile naționale de supraveghere (ANSSI pentru Franța) au puteri extinse, în special capacitatea de a ordona audituri surpriză și de a impune măsuri corective obligatorii în termene scurtate.

Implicații practice pentru furnizorii actuali

PSCo-urile deja calificate sub eIDAS 1.0 va trebui să procedeze la o punere în conformitate progresivă înainte de termenele fixate prin actele de execuție ale Comisiei (publicate sau în curs de publicare). Principalele adaptări privesc:

• Refacerea infrastructurii de identificare pentru a suporta EUDI Wallet ca mijloc de autentificare.

• Actualizarea PC/DPC pentru a integra noile tipologii de certificatе și atestări.

• Întărirea cerințelor de securitate ale QSCD-urilor distante, cu noi profile de protecție care vor veni.

Pentru întreprinderile clienți, aceasta înseamnă a verifica deja astazi că furnizorul lor dispune de o foaie de parcurs documentată și verificabilă de conformitate eIDAS 2.0.

Cadrul juridic aplicabil obligațiilor furnizorilor de semnătură electronică

Lanțul normativ aplicabil furnizorilor de semnătură electronică care operează în Franța se articulează pe mai multe nivele ierarhice complementare.

Codul civil francez — Articolele 1366 și 1367

Articolul 1366 din Codul civil recunoaște scrierea electronică ca mod de probă echivalent cu scrierea pe hârtie, cu condiția ca « să poată fi identificată în mod corespunzător persoana din care provine și să fie stabilită și conservată în condiții de natură să-i garanteze integritatea ». Articolul 1367 precizează că semnătura electronică « constă în utilizarea unui procedeu fiabil de identificare garantând legătura acesteia cu actul căruia i se atașează ». Prezumția de fiabilitate beneficiază semnăturilor calificate în sensul eIDAS, inversând sarcina probei în favoarea semnatarului.

Regulamentul eIDAS nr. 910/2014/UE

Acest regulament, de aplicare directă în toți statele membre, stabilește cadrul juridic al serviciilor de încredere. Articolul 26 definește condițiile semnăturii electronice avansate; articolul 28 cerințele certificatelor calificate; Anexa I detaliază conținutul obligatoriu al acestor certificate. PSCo-urile calificate beneficiază de o prezumție de conformitate cu cerințele tehnice și juridice ale regulamentului (articolul 19§2), ceea ce constituie un avantaj major în caz de litigiu.

Regulamentul eIDAS 2.0 — (UE) 2024/1183

Publicat la 30 aprilie 2024, acest regulament de modificare introduce noi categorii de servicii de încredere (atestări de atribute calificate, servicii de arhivare calificate) și întărește obligațiile de supraveghere. El abrogă și înlocuiește parțial regulamentul 910/2014, cu o aplicabilitate progresivă în funcție de actele de execuție ale Comisiei europene.

RGPD — Regulamentul (UE) 2016/679

RGPD se aplică oricărei prelucrări de date cu caracter personal realizate în contextul unui serviciu de semnătură electronică. Articolele 5 (principii de licitate), 6 (bază legală), 9 (date sensibile), 13-14 (informare), 28 (furnizor), 32 (securitate), 33-34 (notificare de încălcare), 35 (AIPD) și 37 (DPO) constituie dispozițiile cel mai frecvent aplicabile. CNIL este autoritatea de control competentă în Franța și poate impune amenzi de până la 20 milioane de euro sau 4% din cifra de afaceri mondială anuală (articolul 83§5 RGPD).

Directiva NIS2 — (UE) 2022/2555

Transpusă în dreptul francez prin legea nr. 2023-703 din 1 august 2023, NIS2 clasifică PSCo-urile semnificative printre entitățile importante sau esențiale supuse obligațiilor de gestionare a riscurilor cyber și de notificare a incidentelor la ANSSI în termen de 24 de ore (alertă timpurie) apoi 72 de ore (notificare completă).

Standardele ETSI

Ansamblul standardelor EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 și TS 119 431 constituie referința tehnică obligatorie pentru auditurile de calificare. Nerespectarea lor antrenează imposibilitatea obținerii sau menținerii statutului calificat.

Riscuri juridice în caz de neconformitate

Un furnizor neconform se expune la: ștergerea din TSL franceza, angajarea responsabilității sale contractuale și extracontractuale, sancțiuni administrative CNIL, amenzi NIS2 putând atinge 10 milioane de euro sau 2% din CA mondial pentru entitățile importante și 20 milioane sau 4% din CA pentru entitățile esențiale, precum și acțiuni judiciare ale clienților care au suferit prejudicii din cauza semnăturilor invalide din punct de vedere juridic.

Scenarii de utilizare: cum verifică întreprinderile conformitatea PSCo-ului lor

Scenariu 1 — Un grup industrial gestionând 3 000 de contracte furnizori pe an

Un grup industrial de mărime medie (ETI), activ în fabricarea echipamentelor mecanice, demateriazlizează ansamblul contractelor furnizori prin intermediul unei platforme SaaS de semnătură electronică. În urma unui audit intern declanșat după o evoluție reglementară, direcția juridică constată că furnizorul selectat — inițial ales după criteriu de preț — nu este referențiat nici pe TSL franceza, nici pe nicio TSL europeană. Semnăturile livrate sunt de tip « simplu » fără mecanism robust de identificare a semnatarului.

Confruntat cu riscul juridic — ansamblul contractelor semnate ar putea vedea valoarea lor probantă contestată în caz de litigiu — compania angajează o migrare către un PSCo calificat ANSSI. Noua soluție integrează o semnătură avansată cu certificat calificat, o marcă de timp calificată și o pistă de audit exportabilă. Proiectul de migrare, realizat în mai puțin de 8 săptămâni, permite securizarea retroactiv a noilor acte și stabilirea unei politici documentare conforme. Echipele juridice estimează că riscul litigios legat de contractele vechi rămâne marginal din cauza execuției fără contestare, dar orice noua semnătură este acum acoperită.

Câștiguri observate: reducție de 60% a litigiilor potențiale legate de autenticitate a semnăturilor și câștig de 3,5 zile de termen mediu de semnare a contractelor complexe datorită automatizării fluxului de validare.

Scenariu 2 — Un cabinet de avocați cu 25 de colaboratori specializat în drept comercial

Un cabinet de avocați care dorește să digitalizeze semnarea mandatelor, consultațiilor și actelor de procedură evaluează mai mulți furnizori. Grila de analiză integrează următoarele criterii: prezență pe TSL, publicare a unei PC/DPC accesibile, existență a unui DPA conform RGPD, disponibilitate a unui DPO contactabil și certificare a QSCD-urilor distante.

Din cinci furnizori evaluați, doar doi satisfac ansamblul criteriilor. Cabinetul alege în final un PSCo oferind nativ o semnătură calificată prin QSCD distant, garantând prezumția de fiabilitate a articolului 1367 din Codul civil. Implementarea durează 3 săptămâni, instruire inclusă. Rezultat: 75% din mandate sunt acum semnate în mai puțin de 24 de ore comparativ cu 5-7 zile anterior (trimitere poștală), și cabinetul poate justifica clienților nivelul de securitate juridică oferit de soluție — un argument diferențiator în propunerile comerciale.

Scenariu 3 — Un grup de spitale cu aproximativ 1 200 paturi

Un grup de spitale public dorește să demateriaze contractele de muncă, convențiile de stagiu și acordurile de parteneriat cu établissements de îngrijiri partenere. Sensibilitatea datelor tratate (date de sănătate ale personalului de îngrijire, date RH) impune o atenție deosebită asupra obligațiilor RGPD ale PSCo-ului.

DSI și DPO al établissementului exigă: gazduire a datelor în Franța la un găzduitor de date de sănătate certificat HDS (Hébergeur de Données de Santé, certificare prevăzută de articolul L.1111-8 din Codul sănătății publice), absența transferului în afara SEE, AIPD documentată pentru prelucrarea de identificare a semnatarilor și DPA semnat înainte de orice punere în producție.

După selectarea unui PSCo răspunzând acestor criterii, implementarea acoperă prioritar contractele RH (aproximativ 800 acte pe an). Termenul mediu de semnare a contractelor pentru durată determinată trece de la 9 zile la mai puțin de 48 de ore, eliberând o capacitate semnificativă pentru echipele resurselor umane. Établissementul dispune în plus de o trasabilitate completă a consimțămintelor colectate, auditată anual de DPO-ul acestuia.

Concluzie

Obligațiile legale care cântăresc pe furnizorii de semnătură electronică în Franța formează un corpus normativ exigent: calificare eIDAS, conformitate RGPD, respectare a standardelor ETSI, obligații NIS2 și adaptare iminentă la eIDAS 2.0. Pentru întreprinderile utilizatoare, asigurarea conformității PSCo-ului nu este o demersă opțională — este o condiție sine qua non a valorii probante a actelor semnate și a protecției datelor cu caracter personal ale semnatarilor.

Certyneo este un furnizor de semnătură electronică conceput pentru a răspunde ansamblului acestor cerințe: conformitate eIDAS, RGPD by design, gazduire suverană și foaie de parcurs eIDAS 2.0 documentată. Gata să vă securizați semnăturile în conformitate completă? Contactați-ne și beneficiați de un însoțire personalizată din prima zi.