TMD vs TMK : diferențele juridice și practice

Introducere : de ce să distingem TMD și TMK ?

În ecosistemul european de încredere digitală, noțiunile de Trustmark de Date (TMD) și Trustmark de Chei (TMK) — desemnând respectiv mecanismele de marcare a încrederii pentru datele electronice și pentru infrastructurile de chei criptografice — provoacă adesea confuzie în rândul practicienilor juridici și responsabililor IT. Cu toate acestea, regimurile lor juridice, porturile lor tehnice și implicațiile lor practice diferă fundamental. Acest articol demistifică aceste două mecanisme, prezintă cadrul lor reglementar respectiv și ghidează organizațiile B2B în alegerea cea mai potrivită pentru fluxurile lor documentare.

---

Ce este TMD (Trustmark de Date) ?

TMD, sau mecanismul de marcare a încrederii aplicat datelor, desemnează un set de proceduri și atribute criptografice ce permit certificarea integrității și autenticității unui set de date sau document electronic. Se bazează în principal pe mecanismele de sigiliu electronic calificat (qualified electronic seal) în sensul regulamentului eIDAS.

Fundamentele tehnice ale TMD

Din punct de vedere tehnic, un TMD se bazează pe :

• O funcție de hash (SHA-256, SHA-3) aplicată datelor sursă, generând o amprentă digitală unică ;

• Un certificat digital emis de un Furnizor de Servicii de Încredere Calificat (FSÎC), garantând identitatea entității emitente ;

• Un marcaj temporal electronic calificat conform standardului ETSI EN 319 421, furnizând o dovadă temporală opozabilă.

Aceste trei elemente combinate conferă TMD o valoare probantă ridicată, asimilabilă celei a unui act autentic în multe state membre ale UE. Pentru a afla mai mult despre valoarea juridică a documentelor marcate temporal, consultă ghidul complet al semnăturii electronice.

Domenii de aplicare privilegiate ale TMD

TMD este deosebit de adaptat contextelor în care organizația trebuie să certifice integritatea volumelor mari de date fără a necesita intervenția activă a unei persoane fizice identificate. Se găsește în special în :

• Certificarea fluxurilor contabile și financiare (jurnale de audit, balanțe generale) ;

• Conservarea legală a probelor digitale (arhivare probantă conform NF Z 42-013) ;

• Schimburile EDI între parteneri comerciali în lanțurile de aprovizionare.

---

Ce este TMK (Trustmark de Chei) ?

TMK, sau mecanismul de marcare a încrederii centrat pe cheile criptografice, se înscrie într-o logică diferită : certifică nu datele în sine, ci infrastructurile cu cheie publică (PKI) și dispozitivele de creare a semnăturii utilizate de semnatari. Este strâns legat de noțiunile de Dispozitiv Calificat de Creare a Semnăturii (DCCS) definit în Anexa II a regulamentului eIDAS.

Arhitectura criptografică a TMK

Un TMK implică :

• Un modul HSM (Hardware Security Module) certificat CC EAL 4+ sau FIPS 140-2 nivel 3, garantând că cheile private nu ies niciodată din dispozitivul securizat ;

• O politică de certificare documentată (CPS – Certification Practice Statement) publicată de FSÎC ;

• Mecanisme de revocare în timp real prin OCSP (Online Certificate Status Protocol) sau CRL (Certificate Revocation List).

Soliditatea TMK se bazează deci pe securitatea fizică și logică a dispozitivelor de generare și stocare a cheilor. Pentru a înțelege cum aceste cerințe se articulează cu cadrul reglementar global, ghidul nostru despre regulamentul eIDAS 2.0 constituie o referință esențială.

Domenii de aplicare privilegiate ale TMK

TMK se impune în scenariile în care responsabilitatea juridică a unei persoane fizice identificate trebuie angajată cu certitudine :

• Semnarea contractelor cu valoare juridică ridicată (cesiuni de fond de comerț, contracte comerciale de locație, acte notariale desmaterializate) ;

• Procese de autentificare puternică în portalurile administrației-întreprinderi (API vamale, platforme Chorus Pro) ;

• Validarea ordinelor de plată în instituțiile financiare supuse DSP2.

---

Comparație juridică : TMD vs TMK

Distincția cea mai structurată între TMD și TMK constă în ancrarea lor legală în cadrul regulamentului eIDAS (nr. 910/2014) și al succesorului său eIDAS 2.0 (regulamentul UE 2024/1183).

Regim de responsabilitate

| Criteriu | TMD | TMK | |---|---|---| | Entitate responsabilă | Persoană juridică (organizație) | Persoană fizică sau juridică identificată | | Nivel de încredere | Avansat sau calificat (sigiliu) | Calificat (semnătură electronică calificată) | | Prezumție legală | Integritate datelor | Consimțământ și identitate semnatarului | | Aplicabilitate transfrontalieră | Recunoaștere automată UE | Recunoaștere automată UE (art. 25 eIDAS) |

TMD angajează responsabilitatea entității emitente : dacă integritatea datelor certificate este compromisă, organizația trebuie să răspundă. TMK, pe de altă parte, angajează responsabilitatea individuală a deținătorului cheii — ceea ce îl face instrumentul indispensabil pentru orice act în care voința personală trebuie probată fără ambiguitate.

Forță probantă în fața instanțelor judecătorești franceze

În dreptul francez, articolul 1366 din Codul civil stabilește că « scrisul electronic are aceeași putere probantă ca scrisul pe suport hârtie, cu condiția ca să poată fi identificată în mod corespunzător persoana din care provine și că acesta să fie întocmit și conservat în condiții care să garanteze integritatea lui ». Această formulare acoperă ambele mecanisme, dar cu nuanțe importante :

• Un document protejat de un TMD calificat beneficiază de o prezumție de integritate care inversează povara probei ;

• Un document semnat prin TMK calificat beneficiază, în plus, de o prezumție de imputabilitate — semnatarul trebuie el însuși să dovedească că nu a semnat, ceea ce este extrem de dificil.

Această asimetrie probantă explică de ce juriști și cabinetele juridice care utilizează semnătură electronică privilegiază TMK pentru actele supuse unei condiții de formă legală.

Interoperabilitate și recunoaștere mutuală

eIDAS 2.0 consolidează interoperabilitatea prin European Digital Identity Wallets (EDIW), care vor integra nativ mecanisme TMK pentru cetățeni și profesioniști. TMD-urile se bazează mai mult pe listele de încredere naționale (Trusted Lists) publicate de fiecare stat membru. Franța și-o publică prin ANSSI, iar orice FSÎC calificat este referențiat acolo. Pentru o analiză comparativă a soluțiilor de pe piață, comparația soluțiilor de semnătură electronică ți va oferi elemente concrete de decizie.

---

Implicații practice pentru întreprinderile B2B

Alegerea între TMD și TMK în funcție de tipul documentului

Regula de aur este simplă : nivelul de risc juridic al documentului dictează mecanismul care trebuie implementat.

• Documente cu risc moderat (comenzi, oferte, condiții generale, acorduri de confidențialitate NDA standard) : un TMD cu sigiliu avansat este de obicei suficient. Oferă o protecție robustă a integrității fără costul suplimentar legat de calificarea DCCS.

• Documente cu risc ridicat (contracte de muncă, mandate, acte de cesiune, angajamente financiare superioare 50 000 €) : TMK calificat este recomandat, chiar impus de anumite sectoare reglementate (bancă, asigurări, sănătate).

Pentru echipele RH care gestionează volume importante de contracte de muncă, soluția de semnătură electronică pentru RH integrează nativ un nivel de încredere adaptat fiecărui tip de document.

Costuri și termene de implementare

TMD este în general mai puțin costisitor de implementat deoarece nu necesită un proces de identificare puternică (KYC/AML) pentru fiecare semnatarlu. Integrarea sa prin API într-un sistem de gestionare documentară (GED) sau un ERP durează în medie 2 la 6 săptămâni în funcție de complexitatea mediului IT.

TMK, din cauza cerințelor DCCS și procesul de verificare a identității, implică un termen de onboarding de 3 la 10 zile lucrătoare per semnatarlu. Pentru organizațiile care gestionează mulți parteneri externi, aceasta poate reprezenta un factor de fricțiune care trebuie anticipat în conducerea schimbării.

Arhivare și conservare

Indiferent de mecanismul ales, orice organizație supusă dreptului francez trebuie să respecte duratele legale de conservare : 10 ani pentru contractele comerciale (articolul L. 110-4 din Codul de comerț), 5 ani pentru datele cu caracter personal asociate (RGPD art. 5). Un sistem de arhivare probantă conform standardului NF Z 42-013 garantează că valoarea juridică a TMD sau TMK este prezervată în timp, chiar și în caz de migrare tehnologică.

Cadrul legal aplicabil TMD și TMK

Regulamentul eIDAS și evoluția acestuia

Fundația reglementară a mecanismelor TMD și TMK este constituită de regulamentul (UE) nr. 910/2014 al Parlamentului European și al Consiliului din 23 iulie 2014, numit regulamentul eIDAS. Acest text fundamental stabilește ierarhia nivelurilor de încredere (simplu, avansat, calificat) și definește condițiile de recunoaștere transfrontalieră a serviciilor de încredere în cadrul Uniunii Europene.

În 2024, regulamentul (UE) 2024/1183 (eIDAS 2.0) a revizuit substanțial acest cadru, introducând în special :

• European Digital Identity Wallets (EDIW) obligatorii pentru statele membre până în 2026 ;

• Noi categorii de servicii de încredere, inclusiv atestări electronice de atribute calificate ;

• Cerințe consolidate pentru FSÎC în materie de securitate cibernetică (aliniere NIS2).

Codul civil francez : articolele 1366 și 1367

În dreptul intern, articolele 1366 și 1367 din Codul civil (provenind din ordonanța nr. 2016-131 din 10 februarie 2016) stabilesc condițiile valorii probante a scrierii electronice. Articolul 1367 precizează că semnătura electronică calificată (bazată pe TMK calificat și DCCS) « creează o prezumție simplă de fiabilitate ». Această prezumție este reversibilă, dar inversează povara probei în favoarea beneficiarului semnăturii.

Standarde ETSI aplicabile

Specificațiile tehnice ale TMD și TMK sunt normalizate de ETSI (European Telecommunications Standards Institute) :

• ETSI EN 319 132 : semnătură electronică avansată XAdES ;

• ETSI EN 319 122 : semnătură CAdES ;

• ETSI EN 319 142 : semnătură PAdES (PDF) ;

• ETSI EN 319 421 : politică de marcaj temporal electronic calificat ;

• ETSI EN 319 401 : cerințe generale pentru FSÎC.

RGPD și protecția datelor

Implementarea TMD și TMK implică prelucrarea datelor cu caracter personal (identitate semnatarului, metadate de semnătură). Regulamentul (UE) 2016/679 (RGPD) impune :

• O bază legală explicită pentru prelucrare (executarea contractului, art. 6.1.b, sau obligație legală, art. 6.1.c) ;

• Un registru al prelucrărilor care documentează fluxurile de date către FSÎC ;

• Clauze contractuale adaptate dacă FSÎC este stabilit în afara UE sau utilizează subcontractanți extraeuropeni.

Directiva NIS2 și securitate cibernetică a infrastructurilor PKI

Directiva (UE) 2022/2555 (NIS2), transpusă în dreptul francez prin legea din 17 aprilie 2024, supune FSÎC calificații la obligații consolidate de gestionare a riscurilor cyber, notificare de incidente (termen de 24 ore pentru notificarea inițială către ANSSI) și audit periodic. Pentru companiile utilizatoare, aceasta se traduce printr-o obligație de diligență sporită atunci când aleg furnizorul lor de servicii de încredere.

Scenarii concrete de utilizare

Scenariu 1 : o PME industrială care gestionează 300 contracte cu furnizorii anual

O PME industrială cu aproximativ o sută de angajați, specializată în fabricarea componentelor mecanice, gestionează anual aproximativ 300 contracte cu furnizorii (achiziții de materii prime, prestații de întreținere, contracte-cadru logistice). Până acum, aceste documente circul prin poștă tradițională sau email nesecurizat, cu termene medii de semnare de 12 la 18 zile lucrătoare.

Prin implementarea unui mecanism TMD calificat pentru contractele cu valoare sub 20 000 € și TMK calificat pentru angajamentele superioare sau plurianuale, PME-ul reduce termenii de semnare la 1,8 zile lucrătoare în medie, adică o reducere de peste 85 %. Litigiile legate de contestarea integrității documentare, care reprezentau 2-3 dosare contentioase anual, scad la zero în cei 18 luni următori implementării — prezumția legală asociată mecanismelor calificate descurajând încercările de contestare.

Scenariu 2 : un grup spitalicesc cu aproximativ 600 de paturi

Un grup spitalicesc public gestionând mai multe instituții trebuie să facă să semneze anual mai multe mii de documente : contracte cu practicieni spitalicești, protocoale de cercetare clinică, convenții cu parteneri universitari și laboratoare farmaceutice. Sectorul sănătății impune constrângeri reglementare specifice (HDS — Hosting de Date Sanitate, PGSSI-S).

Grupul implementează TMK calificat pentru semnătura practicienilor (angajând responsabilitatea medicală și juridică) și TMD avansat pentru certificarea fluxurilor de date pacienți între instituții. Combinația ambelor mecanisme permite reducerea costurilor de tipărire, scanare și arhivare fizică cu 45 000 € anual în timp ce consolidează conformitatea RGPD și HDS. Auditurile de conformitate, care anterior necesitau 3 săptămâni de pregătire documentară, se reduc la 4 zile datorită jurnalelor de audit automatizate.

Scenariu 3 : un cabinet de consiliere în fuziuni și achiziții de dimensiune medie

Un cabinet specializat în M&A care însoțește aproximativ zece operațiuni anual trebuie să gestioneze scrisori de intenție (LOI), acorduri de confidențialitate consolidate, protocoale de acord și acte de cesiune. Valoarea operațiunilor se situează între 5 M€ și 80 M€. Cea mai mică contestație privind autenticitatea unui document poate bloca o tranzacție o lună.

Prin impunerea contractuală a recurgerii la TMK calificat pentru toate documentele tranzacției din faza de due diligence, cabinetul elimină riscurile de contestare formală. Contrapărțile străine (în special britanice și americane post-Brexit) recunosc valoarea probantă a semnăturilor calificate eIDAS în cadrul clauzelor de aplicabilitate dreptului european. Timpul mediu de finalizare documentară trece de la 22 zile la 8 zile, adică un câștig de 63 % în accelerarea finalizării.

Concluzie

TMD și TMK nu sunt interschimbabile : primul certifică integritatea datelor la scara organizației, al doilea angajează responsabilitatea individuală a semnatarului cu puterea probantă maximă prevăzută de eIDAS. Înțelegerea acestei distincții este acum o condiție sine qua non pentru orice politică documentară serioasă în mediu B2B. Alegerea mecanismului potrivit depinde direct de nivelul de risc juridic al fiecărui tip de document și de constrângerile sectoriale aplicabile.

Certyneo te însoțește în implementarea unei strategii de încredere digitală combinând TMD și TMK în funcție de fluxurile tale documentare reale. Platforma noastră suportă ambele mecanisme, integrează cerințele eIDAS 2.0 și se adaptează la sistemul informatic existent. Solicită o demonstrație sau compară ofertele noastre pe pagina Tarife Certyneo — experții noștri juridici și tehnici sunt disponibili pentru a audita gratuit situația ta.