Obligații furnizor semnătură electronică Franța
Calificare eIDAS, conformitate RGPD, cerințe ANSSI : furnizorii de semnătură electronică se confruntă cu un cadru legal exigent. Descoperiți toate obligațiile pe care trebuie să le respectați.
Echipa Certyneo
Redactor — Certyneo · Despre Certyneo
Introducere
Implementarea unei soluții de semnătură electronică în Franța nu se improvizează. În spatele fiecărei semnături calificate sau avansate se ascund zeci de obligații legale care revin furnizorului de servicii de încredere (PSCo). Regulamentul eIDAS, RGPD, referențialul general de securitate, norme ETSI… cadrul reglementar este atât dens cât și evolutiv. Pentru întreprinderile utilizatoare, înțelegerea acestor obligații legale furnizor semnătură electronică Franța eIDAS RGPD este indispensabilă pentru a alege un partener conform și pentru a evita orice risc juridic. Acest articol detaliază, secțiune după secțiune, ansamblul exigențelor aplicabile PSCo care operează pe teritoriul francez.
---
Statutul furnizorului de servicii de încredere calificat
Ce este un PSCo în sensul eIDAS?
Regulamentul eIDAS nr. 910/2014 distinge două categorii de furnizori : furnizorii de servicii de încredere necalificați și furnizorii calificați (PSCQ). Primii pot propune servicii de semnătură electronică simplă sau avansată fără audit tert obligatoriu. Al doilea — singurii autorizați să emită semnături calificate în sensul articolului 3(15) din eIDAS — trebuie să satisfacă exigențe considerabil mai stricte.
În Franța, Agenția Națională de Securitate a Sistemelor de Informații (ANSSI) are rolul de autoritate de supraveghere (« Supervisory Body ») prevăzut de articolul 17 din eIDAS. Ea publică și menține lista de încredere franceză (TSL — Trust Service List), accesibilă pe site-ul oficial, care enumeră furnizorii calificați și serviciile acestora.
Procedura de calificare: audit și conformitate
Pentru a obține statutul calificat, un PSCo trebuie în mod obligatoriu să:
- Se facă audita serviciile de către un organism de evaluare a conformității (CAB — Conformity Assessment Body) acreditat de COFRAC conform normei EN ISO/IEC 17065.
- Transmită raportul de audit ANSSI, care decide asupra acordării statutului calificat. Acest statut este reevaluat cel puțin o dată la 24 luni (articolul 20 §1 eIDAS).
- Notifice ANSSI orice schimbare substanțială în serviciile sale într-un termen de 3 luni înainte de modificarea prevăzută (articolul 21 eIDAS).
Nerespectarea acestor etape expune furnizorul la ștergerea din TSL și la pierderea prezumțiilor juridice atașate semnăturii calificate. Pentru întreprinderile clienți, a recurge la un PSCo nelistat pe TSL revine la a nu beneficia de nicio prezumție legală de fiabilitate.
> Pentru a afla mai mult despre diferitele niveluri de semnătură și efectele juridice ale acestora, consultați ghidul complet al regulamentului eIDAS 2.0.
---
Obligații tehnice și de securitate impuse PSCo
Respectarea normelor ETSI
Furnizorii calificați trebuie să se conformeze unui set de norme europene publicate de Institutul European de Norme în Telecomunicații (ETSI). Principale sunt:
- ETSI EN 319 401 : cerințe generale de securitate aplicabile tuturor PSCo.
- ETSI EN 319 411-1 și 411-2 : politici și practici ale autorităților de certificare care emit certificatate de semnătură calificată.
- ETSI EN 319 132 : formate de semnătură electronică avansată (XAdES pentru XML, PAdES pentru PDF, CAdES pentru CMS).
- ETSI EN 319 122 : format CAdES pentru semnături calificate.
- ETSI TS 119 431 : cerințe pentru serviciile de creare de semnătură la distanță (QSCD la distanță).
Aceste norme nu sunt opționale : Regulamentul eIDAS (Anexa II, III și IV) se referă explicit la acestea pentru a defini cerințele minime ale certificatelor calificate și ale dispozitivelor de creare a semnaturii.
Gestionarea dispozitivelor securizate de creare de semnătură (QSCD)
Unu dintre pilonii semnăturii calificate este utilizarea unui dispozitiv securizat de creare de semnătură (QSCD — Qualified Signature Creation Device) conform Anexei II din eIDAS. Furnizorul trebuie să garanteze că:
- Cheia privată a semnatarului nu poate fi generată, stocată sau copiată în afara QSCD.
- Generarea cheii se realizează exclusiv într-un mediu certificat (certificare Common Criteria EAL 4+ sau echivalent).
- Autenticarea semnatarului care precede orice act de semnare se bazează pe cel puțin doi factori de autentificare.
Într-un context de semnătură la distanță — din ce în ce mai răspândit în mediile SaaS — aceste cerințe se aplică serverului HSM (Hardware Security Module) care găzduiește cheile. ANSSI a publicat profile de protecție specifice (PP-0075, PP-0076) care definesc criteriile de securitate de atins.
Politică de continuitate și notificare de incidente
Articolul 19 din eIDAS impune fiecărui furnizor de servicii de încredere (calificat sau nu) să:
- Notifice autoritatea de supraveghere (ANSSI) și, dacă este cazul, autoritatea de protecție a datelor (CNIL), în decurs de 24 ore de la detectarea unei încălcări de securitate susceptibilă de a avea impact asupra fiabilității serviciului.
- Deține un plan de continuitate a activității documentat și testat periodic.
- Dispună de o politică de securitate a informațiilor formalizată, care acoperă în special gestionarea riscurilor, gestionarea incidentelor și politica de backup.
Aceste cerințe se suprapun parțial cu cele ale directivei NIS2 (2022/2555/UE), transpusă în dreptul francez prin legea nr. 2023-703 din 1 august 2023, care clasifică PSCo de dimensiune semnificativă printre entitățile importante sau esențiale supuse obligațiilor consolidate de securitate cibernetică.
> Descoperiți cum semnătura electronică pentru cabinetele juridice trebuie să integreze aceste constrângeri în fluxurile lor documentare.
---
Obligații RGPD specifice PSCo
PSCo, responsabil al tratării sau subcontractant?
Calificarea RGPD a furnizorului depinde de natura serviciului prestat:
- Atunci când PSCo emite direct certificate calificate în numele semnatarului și determină scopurile tratării datelor personale (identitate, date biometrice de autentificare), acționează ca responsabil al tratării în sensul articolului 4(7) RGPD.
- Atunci când integrează API-ul în platforma unui client B2B și tratează datele personale conform instrucțiunilor acestuia doar, revine calitatea de subcontractant (articolul 4(8) RGPD) și trebuie să încheie obligatoriu un DPA (Data Processing Agreement) conform articolului 28 RGPD.
În practică, majoritatea PSCo SaaS cumulează ambele calități : responsabil pentru gestionarea propriei infrastructuri de certificare, subcontractant pentru tratarea documentelor și metadatelor semnatarilor.
Obligații specifice legate de datele biometrice și de identitate
Identificarea și autentificarea semnatarului — etapă obligatorie pentru emiterea unui certificat calificat — implică adesea tratarea datelor sensibile : scan al actului de identitate, selfie video, date biometrice de recunoaștere facială. Aceste date constituie date cu caracter personal supuse RGPD, chiar date biometrice care cad sub articolul 9 RGPD (categorii speciale).
Obligațiile PSCo includ:
- Baza legală : consimțământ explicit (articolul 9§2a) sau, în anumite cazuri, obligație legală (articolul 9§2b) pentru tratarea datelor biometrice.
- Durata de păstrare limitată : conform liniilor directoare ale CNIL, datele de identificare trebuie păstrate doar timp de strictul necesar, de obicei aliniate la durata de validitate a certificatului + durata legală de probă (adesea 10 ani pentru actele sub semnătură privată, articolul 2224 din Codul civil).
- Analiză de impact (AIPD) obligatorie (articolul 35 RGPD) din moment ce tratarea este susceptibilă să aibă ca rezultat un risc ridicat — ceea ce este sistematic cazul pentru biometrie.
- Registrul tratărilor (articolul 30 RGPD) ținut la zi și documentând fiecare categorie de tratare.
Transferuri internaționale de date
Mulți PSCo găzduiesc total sau parțial infrastructura în afara Spațiului Economic European (EEE). În acest caz, garantiile adecvate cerute de capitolul V RGPD se impun : decizie de adecvare, clauze contractuale-tip (SCCs) ale Comisiei europene sau reguli obligatorii pentru întreprindere (BCR). Hotărârea Schrems II (CJUE, C-311/18, 16 iulie 2020) a reamintit că transferurile către Statele Unite necesită o analiză prealabilă a riscului țării.
> Pentru a înțelege impactul acestor reguli asupra organizației dvs., consultați ghidul nostru privind semnătura electronică în întreprindere.
---
Obligații de transparență și informare către utilizatori
Politică de certificare (PC) și declarație de practici de certificare (DPC)
Orice PSCo care emite certificate este obligat să publice o Politică de Certificare (PC) și o Declarație de Practici de Certificare (DPC), conform normei ETSI EN 319 411. Aceste documente, accesibile liber, detaliază:
- Procedurile de identificare și înregistrare a semnatarilor.
- Măsurile de securitate fizică și logică implementate.
- Condițiile de revocare a certificatelor și termenele asociate.
- Responsabilitățile și limitările de garanție ale PSCo.
Absența sau incompletitudinea acestor documente constituie o neconformitate susceptibilă de a fi identificată în timpul auditului de recalificare de către organism acreditat.
Informare precontractuală și contractuală a clienților
Dincolo de obligațiile pur tehnice, articolul 13 RGPD impune PSCo să furnizeze fiecărei persoane ale cărei date sunt colectate o informare clară și accesibilă privind:
- Identitatea responsabilului tratării și coordonatele Responsabilului cu Protecția Datelor (obligatoriu pentru PSCo care tratează la scară mare date sensibile, articolul 37 RGPD).
- Scopurile și bazele legale ale fiecărei tratări.
- Drepturile persoanelor (acces, rectificare, ștergere, portabilitate, opoziție).
- Posibilii destinatari ai datelor (subcontractanți, autorități).
Aceste informații trebuie să figureze în politica de confidențialitate a serviciului, în CGU și, dacă este cazul, în DPA încheiat cu clienții profesioniști.
Marcaj temporal calificat și pist de audit
Pentru a garanta valoarea probantă pe termen lung a semnăturilor, PSCo serioși asociază sistematic un marcaj temporal electronic calificat (articolul 42 eIDAS) fiecărui act semnat. Acest marcaj constituie o dovadă legalmente prezumată a existenței datei la data indicată. Păstrarea pistei de audit (jurnale de identificare, amprentă a documentului, date ale semnăturii) este o obligație de facto pentru a permite orice verificare judiciară ulterioară.
> Comparați soluțiile de pe piață după aceste criterii în comparativul soluțiilor de semnătură electronică.
---
eIDAS 2.0 : noile obligații la orizont 2026-2027
Regulamentul eIDAS 2.0 (UE) 2024/1183
Publicat în Jurnalul Oficial al UE la 30 aprilie 2024, regulamentul (UE) 2024/1183 denumit « eIDAS 2.0 » întărește semnificativ obligațiile PSCo în jurul a trei axe:
- Portofelul European de Identitate Numerică (EUDI Wallet) : statele membre trebuie să pună la dispoziție un portofel de identitate numerică certificat până la 2 noiembrie 2026. PSCo va trebui să integreze serviciul cu acest portofel pentru a propune semnături calificate prin identitatea eIDAS 2.0.
- Gestionarea atestărilor de atribute : eIDAS 2.0 introduce atestări de atribute calificate (QEAAs), emise de furnizori calificați de atestare. Se vor aplica noi proceduri de audit și de calificare.
- Consolidarea supravegherii : autoritățile naționale de supraveghere (ANSSI pentru Franța) și-au extins puterile, inclusiv capacitatea de a derula audituri neplanificate și de a impune măsuri corective obligatorii în termene reduse.
Implicații practice pentru furnizorii actuali
PSCo deja calificați conform eIDAS 1.0 vor trebui să procedeze la o punere progresivă în conformitate înainte de termenele stabilite de actele de execuție ale Comisiei (publicate sau în curs de publicare). Principalele adaptări privesc:
- Refacerea infrastructurii de identificare pentru a suporta EUDI Wallet ca mijloc de autentificare.
- Actualizarea PC/DPC pentru a integra noile tipologii de certificate și atestări.
- Consolidarea cerințelor de securitate ale QSCD distante, cu noi profile de protecție viitoare.
Pentru întreprinderile clienți, aceasta înseamnă a verifica deja acum că furnizorul dispune de o foaie de parcurs de conformitate eIDAS 2.0 documentată și verificabilă.
Cadrul legal aplicabil obligațiilor furnizorilor de semnătură electronică
Lanțul normativ aplicabil furnizorilor de semnătură electronică care operează în Franța se articulează pe mai multe niveluri ierarhice complementare.
Codul civil francez — Articolele 1366 și 1367
Articolul 1366 din Codul civil recunoaște documentul electronic ca mod de probă echivalent cu documentul pe hârtie, cu condiția ca « să poată fi corect identificată persoana din care provine și să fie stabilit și păstrat în condiții capabile să garanteze integritatea acestuia ». Articolul 1367 precizează că semnătura electronică « constă din utilizarea unui procedeu fiabil de identificare care garantează legătura acesteia cu actul la care se referă ». Prezumția de fiabilitate beneficiază semnăturilor calificate în sensul eIDAS, inversând sarcina probei în favoarea semnatarului.
Regulamentul eIDAS nr. 910/2014/UE
Acest regulament, de aplicare directă în toți statele membre, stabilește cadrul juridic al serviciilor de încredere. Articolul 26 definește condițiile semnăturii electronice avansate ; articolul 28 cerințele certificatelor calificate ; Anexa I detaliază conținutul obligatoriu al acestor certificate. PSCo calificați beneficiază de o prezumție de conformitate cu cerințele tehnice și juridice ale regulamentului (articolul 19§2), ceea ce constituie un avantaj major în caz de litigiu.
Regulamentul eIDAS 2.0 — (UE) 2024/1183
Publicat la 30 aprilie 2024, acest regulament modificator introduce noi categorii de servicii de încredere (atestări de atribute calificate, servicii de arhivare calificate) și consolidează obligațiile de supraveghere. Abroga și înlocuiește parțial Regulamentul 910/2014, cu aplicabilitate progresivă conform actelor de execuție ale Comisiei europene.
RGPD — Regulamentul (UE) 2016/679
RGPD se aplică oricărui tratament de date personale realizat în cadrul unui serviciu de semnătură electronică. Articolele 5 (principii de legalitate), 6 (bază legală), 9 (date sensibile), 13-14 (informare), 28 (subcontractare), 32 (securitate), 33-34 (notificare de încălcare), 35 (AIPD) și 37 (DPO) constituie prevederile cel mai frecvent aplicabile. CNIL este autoritatea de control competentă în Franța și poate impune amenzi până la 20 milioane euro sau 4% din cifra de afaceri mondială anuală (articolul 83§5 RGPD).
Directiva NIS2 — (UE) 2022/2555
Transpusă în dreptul francez prin legea nr. 2023-703 din 1 august 2023, NIS2 clasifică PSCo de dimensiune semnificativă printre entitățile importante sau esențiale supuse obligațiilor de gestionare a riscurilor cibernetice și de notificare de incidente către ANSSI în termen de 24 ore (alertă precoce) apoi 72 ore (notificare completă).
Norme ETSI
Ansamblul normelor EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 și TS 119 431 constituie referința tehnică obligatorie pentru auditarea calificării. Nerespectarea acestora antrenează imposibilitatea obținerii sau menținerii statutului calificat.
Riscuri juridice în caz de neconformitate
Un furnizor neconform se expune la: ștergere din TSL franceză, angajare a responsabilității contractuale și extracontractuale, sancțiuni administrative CNIL, amenzi NIS2 care pot atinge 10 milioane euro sau 2% din CA mondial pentru entitățile importante și 20 milioane sau 4% din CA pentru entitățile esențiale, precum și acțiuni judiciare ale clienților care au suferit prejudiciu din cauza semnăturilor nu fiind valabile juridic.
Scenarii de utilizare: cum verifică întreprinderile conformitatea PSCo
Scenariul 1 — Un grup industrial gestionând 3 000 contracte furnizori pe an
Un grup industrial de dimensiune medie (ETI), activ în fabricarea echipamentelor mecanice, demateriazează ansamblul contractelor furnizorilor printr-o platformă SaaS de semnătură electronică. În cursul unui audit intern declanșat după o evoluție reglementară, direcția juridică constată că furnizorul ales — inițial selectat pe criteriu de preț — nu este referențiat nici pe TSL franceză, nici pe nicio TSL europeană. Semnăturile livrate sunt de tip « simplă » fără mecanism de identificare robust a semnatarului.
Confruntată cu riscul juridic — ansamblul contractelor semnate și-ar putea vedea contestată valoarea probantă în caz de litigiu — compania inițiază o migrare către un PSCo calificat ANSSI. Noua soluție integrează o semnătură avansată cu certificat calificat, un marcaj temporal calificat și o pist de audit exportabilă. Proiectul de migrare, realizat în mai puțin de 8 săptămâni, permite securizarea retroactivă a noilor acte și stabilirea unei politici documentare conforme. Echipele juridice estimează că riscul de litigiu legat de contractele vechi rămâne marginal din cauza executării acestora fără contestare, dar orice nouă semnătură este acum acoperită.
Câștiguri observate: reducere de 60% a litigiilor potențiale legate de autenticitate semnării, și câștig de 3,5 zile în medie de termen de semnare pe contractele complexe grație automatizării fluxului de validare.
Scenariul 2 — Un cabinet de avocați cu 25 colaboratori specializat în drept afacerilor
Un cabinet de avocați doritor să digitalizeze semnarea mandatelor, consultațiilor și actelor de procedură evaluează mai mulți furnizori. Grilă de analiză integrează următoarele criterii : prezență pe TSL, publicarea unei PC/DPC accesibile, existența unui DPA conform RGPD, disponibilitate DPO contactabil și certificare a QSCD distante.
Din cinci furnizori evaluați, doar doi satisfac ansamblul criteriilor. Cabinetul alege în final un PSCo oferind nativ o semnătură calificată prin QSCD la distanță, garantând prezumția de fiabilitate a articolului 1367 din Codul civil. Instalarea durează 3 săptămâni, formare inclusă. Rezultat: 75% din mandate sunt acum semnate în mai puțin de 24 ore contra 5-7 zile anterior (trimitere poștală), și cabinetul poate justifica clienților nivelul de securitate juridică oferit de soluție — un argument diferențiator în propunerile sale comerciale.
Scenariul 3 — Un grup spitalicesc cu aproximativ 1 200 paturi
Un grup spitalicesc public dorește demateriazarea contractelor de muncă, convențiilor de stagiu și acordurilor de parteneriat cu alte instituții de îngrijiri medicale. Sensibilitatea datelor tratate (date de sănătate ale personalului medical, date RH) impune vigilență deosebită privind obligațiile RGPD ale PSCo.
DSI și DPO al instituției cer: găzduire date în Franța la un furnizor de gazduire date medicale certificat HDS (Hébergeur de Données de Santé, certificare prevăzută de articolul L.1111-8 din Codul de sănătate publică), absență transfer în afara EEE, AIPD documentată pentru tratarea de identificare a semnatarilor, și DPA semnat înainte de orice pusă în producție.
După selectarea unui PSCo răspunzând acestor criterii, implementarea acoperă în prioritate contractele RH (aproximativ 800 acte pe an). Termenul mediu de semnare a contractelor cu durată determinată scade de la 9 zile la mai puțin de 48 ore, eliberând o capacitate semnificativă pentru echipele resurselor umane. Instituția dispune în plus de o trasabilitate completă a consimțămintelor colectate, auditată anual de DPO.
Concluzie
Obligațiile legale care grevează furnizorii de semnătură electronică în Franța formează un corpus normativ exigent : calificare eIDAS, conformitate RGPD, respectare norme ETSI, obligații NIS2 și adaptare iminentă la eIDAS 2.0. Pentru întreprinderile utilizatoare, asigurarea conformității PSCo nu este o abordare opțională — este o condiție sine qua non a valorii probante a actelor semnate și a protecției datelor personale ale semnatarilor.
Certyneo este un furnizor de semnătură electronică conceput pentru a răspunde ansamblului acestor exigențe : conformitate eIDAS, RGPD by design, gazduire suverană și foaie de parcurs eIDAS 2.0 documentată. Gata să vă securizați semnăturile în deplină conformitate? Solicitați o demonstrație sau creați-vă contul pe Certyneo și beneficiați de un sprijin personalizat din prima zi.
Încercați Certyneo gratuit
Trimiteți primul dvs. plic de semnare în mai puțin de 5 minute. 5 plicuri gratuite pe lună, fără card bancar.
Aprofundați subiectul
Articole de referință pe această temă.
Aprofundați subiectul
Ghidurile noastre complete pentru a stăpâni semnătura electronică.
Articole recomandate
Aprofundați-vă cunoștințele cu aceste articole legate de subiect.
Guvernanța digitală a asociațiilor: ghid 2026
Guvernanța digitală devine indispensabilă pentru asociații care doresc să-și modernizeze procesele decizionale. Descoperiți instrumentele, obligațiile legale și strategiile esențiale pentru 2026.
Adunare generală virtuală: ghid pentru asociații
Ținerea unei adunări generale virtuale ridică întrebări juridice precise pentru asociații. Descoperiți cum să vă securizați rezoluțiile prin semnătura electronică.
Statuts electronici ai asociațiilor: modificare în 2026
Modificarea statutelor unei asociații prin semnătură electronică este acum pe deplin recunoscută de dreptul francez. Descoperiți procedura completă și condițiile de validitate.