Обязательства поставщика услуг электронной подписи во Франции

Введение

Развертывание решения электронной подписи во Франции требует тщательной подготовки. За каждой квалифицированной или продвинутой подписью скрываются десятки правовых обязательств, возлагаемых на поставщика услуг доверия (ПУД). Регламент eIDAS, GDPR, общий справочник безопасности, стандарты ETSI… нормативно-правовая база одновременно обширна и развивается. Для компаний-пользователей понимание этих правовых обязательств поставщика электронной подписи во Франции eIDAS GDPR является необходимым условием для выбора надежного партнера и избежания судебных рисков. В этой статье подробно излагаются все требования, применяемые к ПУД, работающим на территории Франции.

---

Статус квалифицированного поставщика услуг доверия

Что такое ПУД в соответствии с eIDAS?

Регламент eIDAS № 910/2014 различает две категории поставщиков: неквалифицированные поставщики услуг доверия и квалифицированные поставщики (ПУДК). Первые могут предоставлять услуги простой или продвинутой электронной подписи без обязательного аудита третьей стороной. Вторые — единственные, кому разрешено выдавать квалифицированные подписи в смысле статьи 3(15) eIDAS — должны соответствовать значительно более строгим требованиям.

Во Франции роль органа надзора (« Supervisory Body ») в соответствии со статьей 17 eIDAS выполняет Национальное агентство по безопасности информационных систем (ANSSI). Оно публикует и поддерживает французский список доверия (TSL — Trust Service List), доступный на его официальном сайте, в котором перечисляются квалифицированные поставщики и их услуги.

Процедура квалификации: аудит и соответствие требованиям

Для получения квалифицированного статуса ПУД должен обязательно:

• Провести аудит своих услуг организацией по оценке соответствия (CAB — Conformity Assessment Body), аккредитованной COFRAC в соответствии со стандартом EN ISO/IEC 17065.

• Представить отчет об аудите в ANSSI, которое выносит решение о предоставлении квалифицированного статуса. Этот статус переоценивается по крайней мере один раз в 24 месяца (статья 20 §1 eIDAS).

• Уведомить ANSSI об любых существенных изменениях в своих услугах в течение 3 месяцев до запланированного изменения (статья 21 eIDAS).

Несоблюдение этих этапов подвергает поставщика исключению из TSL и потере правовых презумпций, связанных с квалифицированной подписью. Для клиентских компаний использование ПУД, не указанного в TSL, означает отсутствие какой-либо правовой презумпции надежности.

> Для получения дополнительной информации о различных уровнях подписей и их юридических последствиях см. наш материал.

---

Технические обязательства и требования безопасности для ПУД

Соответствие стандартам ETSI

Квалифицированные поставщики должны соответствовать набору европейских стандартов, опубликованных Европейским институтом стандартов телекоммуникаций (ETSI). Основные из них:

• ETSI EN 319 401: общие требования безопасности, применимые ко всем ПУД.

• ETSI EN 319 411-1 и 411-2: политики и практики центров сертификации, выдающих сертификаты квалифицированной подписи.

• ETSI EN 319 132: форматы продвинутой электронной подписи (XAdES для XML, PAdES для PDF, CAdES для CMS).

• ETSI EN 319 122: формат CAdES для квалифицированных подписей.

• ETSI TS 119 431: требования к услугам удаленного создания подписей (удаленный QSCD).

Эти стандарты не являются факультативными: регламент eIDAS (Приложения II, III и IV) прямо ссылается на них при определении минимальных требований к квалифицированным сертификатам и устройствам создания подписей.

Управление защищенными устройствами создания подписей (QSCD)

Одна из опор квалифицированной подписи — использование защищенного устройства создания подписи (QSCD — Qualified Signature Creation Device), соответствующего Приложению II eIDAS. Поставщик должен гарантировать, что:

• Закрытый ключ подписывающего не может быть создан, сохранен или скопирован вне QSCD.

• Генерация ключа происходит исключительно в сертифицированной среде (сертификация Common Criteria EAL 4+ или эквивалент).

• Аутентификация подписывающего перед любым актом подписания основана как минимум на двух факторах аутентификации.

В контексте удаленной подписи — все более распространенной в средах SaaS — эти требования применяются к серверу HSM (Hardware Security Module), размещающему ключи. ANSSI опубликовало конкретные профили защиты (PP-0075, PP-0076), определяющие критерии безопасности, которые необходимо достичь.

Политика непрерывности и уведомления об инцидентах

Статья 19 eIDAS требует от любого поставщика услуг доверия (квалифицированного или нет):

• Уведомить орган надзора (ANSSI) и, при необходимости, орган по защите данных (CNIL) в течение 24 часов после обнаружения нарушения безопасности, которое может повлиять на надежность услуги.

• Иметь задокументированный и регулярно проверяемый план непрерывности деятельности.

• Располагать формализованной политикой безопасности информации, охватывающей в частности управление рисками, управление инцидентами и политику резервного копирования.

Эти требования частично совпадают с требованиями директивы NIS2 (2022/2555/ЕС), введенной в французское право законом № 2023-703 от 1 августа 2023 г., который классифицирует ПУД значительного размера среди важных или критических организаций, подлежащих усиленным обязательствам по кибербезопасности.

> Узнайте, как решение должно интегрировать эти ограничения в рабочие процессы управления документами.

---

Специфические обязательства GDPR для ПУД

ПУД как ответственный за обработку или процессор данных?

Квалификация ПУД в соответствии с GDPR зависит от характера предоставляемой услуги:

• Когда ПУД прямо выдает квалифицированные сертификаты от имени подписывающего и определяет цели обработки личных данных (идентичность, биометрические данные аутентификации), он действует в качестве ответственного за обработку в смысле статьи 4(7) GDPR.

• Когда он интегрирует свой API в платформу клиента B2B и обрабатывает личные данные только согласно инструкциям этого клиента, он имеет статус процессора данных (статья 4(8) GDPR) и должен обязательно заключить DPA (Data Processing Agreement), соответствующее статье 28 GDPR.

На практике большинство ПУД SaaS сочетают обе роли: ответственный за управление собственной инфраструктурой сертификации, процессор для обработки документов и метаданных подписывающих.

Специфические обязательства, связанные с биометрическими данными и данными идентичности

Идентификация и аутентификация подписывающего — обязательный этап для выдачи квалифицированного сертификата — часто предполагает обработку конфиденциальных данных: сканирование удостоверения личности, видеоселфи, биометрические данные распознавания лиц. Эти данные составляют личные данные, подпадающие под GDPR, или даже биометрические данные, регулируемые статьей 9 GDPR (специальные категории).

Обязательства ПУД включают:

• Правовая основа: явное согласие (статья 9§2a) или в некоторых случаях правовое обязательство (статья 9§2b) для обработки биометрических данных.

• Ограниченный период хранения: согласно руководящим принципам CNIL, данные идентификации должны храниться столько времени, сколько это строго необходимо, как правило, в соответствии с периодом действия сертификата + законный период хранения доказательств (часто 10 лет для частных документов, статья 2224 Гражданского кодекса).

• Обязательный анализ воздействия (AIPD) (статья 35 GDPR), когда обработка может создать высокий риск — что систематически имеет место для биометрии.

• Реестр обработок (статья 30 GDPR), обновляемый и документирующий каждую категорию обработки.

Международные передачи данных

Многие ПУД размещают все или часть своей инфраструктуры вне Европейской экономической зоны (ЕЭЗ). В этом случае применяются надлежащие гарантии, требуемые главой V GDPR: решение об адекватности, стандартные договорные положения (SCCs) Комиссии ЕС или обязывающие корпоративные правила (BCR). Решение Schrems II (CJEU, C-311/18, 16 июля 2020) напомнило, что передачи в Соединенные Штаты требуют предварительного анализа рисков по стране.

> Чтобы понять влияние этих правил на вашу организацию, см. наш материал.

---

Обязательства по информированию и уведомлению пользователей

Политика сертификации (ПС) и декларация методов сертификации (ДМС)

Любой ПУД, выдающий сертификаты, обязан опубликовать Политику сертификации (ПС) и Декларацию методов сертификации (ДМС) в соответствии со стандартом ETSI EN 319 411. Эти документы, свободно доступные, детализируют:

• Процедуры идентификации и регистрации подписывающих.

• Физические и логические меры безопасности, развернутые.

• Условия отзыва сертификатов и связанные сроки.

• Ответственность и ограничения гарантий ПУД.

Отсутствие или неполнота этих документов составляет несоответствие, которое может быть выявлено при аудите переквалификации аккредитованной организацией.

Предконтрактное и контрактное информирование клиентов

Помимо чисто технических обязательств, статья 13 GDPR требует от ПУД предоставления каждому лицу, чьи данные собираются, четкую и доступную информацию о:

• Идентичности ответственного за обработку и контактной информации DPO (обязателен для ПУД, обрабатывающих в значительных масштабах конфиденциальные данные, статья 37 GDPR).

• Целях и правовых основаниях каждой обработки.

• Правах лиц (доступ, исправление, удаление, переносимость, возражение).

• Возможных получателей данных (процессоры, органы власти).

Эта информация должна содержаться в политике конфиденциальности услуги, в общих условиях использования и, при необходимости, в DPA, заключенном с профессиональными клиентами.

Квалифицированная временная метка и аудит

Чтобы обеспечить долгосрочную доказательственную ценность подписей, ответственные ПУД систематически связывают квалифицированную электронную временную метку (статья 42 eIDAS) с каждым подписанным актом. Эта временная метка составляет предположительное доказательство существования данных на указанную дату. Сохранение аудита (журналы идентификации, хеш документа, данные подписи) практически является обязательством, позволяющим провести любую последующую судебную проверку.

> Сравните решения на рынке по этим критериям в нашем материале.

---

eIDAS 2.0: новые обязательства на горизонте 2026-2027 гг.

Регламент eIDAS 2.0 (ЕС) 2024/1183

Опубликованный в Официальном журнале ЕС 30 апреля 2024 г., регламент (ЕС) 2024/1183 «eIDAS 2.0» значительно усиливает обязательства ПУД по трем направлениям:

• Европейский кошелек цифровой идентичности (EUDI Wallet): государства-члены должны предоставить сертифицированный кошелек цифровой идентичности к 2 ноября 2026 г. ПУД должны интегрировать свою услугу с этим кошельком для предоставления квалифицированных подписей через eIDAS 2.0 идентичность.

• Управление свидетельствами атрибутов: eIDAS 2.0 вводит квалифицированные свидетельства атрибутов (QEAAs), выдаваемые квалифицированными поставщиками свидетельств. Применяются новые процедуры аудита и квалификации.

• Усиление надзора: национальные органы надзора (ANSSI для Франции) получают расширенные полномочия, в частности возможность проведения внеплановых аудитов и применения обязательных коррективных мер в сокращенные сроки.

Практические последствия для нынешних поставщиков

ПУД, уже квалифицированные в соответствии с eIDAS 1.0, должны будут постепенно приводить в соответствие до установленных сроков в исполняющих актах Комиссии (опубликованных или в процессе публикации). Основные адаптации касаются:

• Переработки инфраструктуры идентификации для поддержки EUDI Wallet в качестве средства аутентификации.

• Обновления ПС/ДМС для интеграции новых типологий сертификатов и свидетельств.

• Усиления требований безопасности удаленных QSCD с появлением новых профилей защиты.

Для компаний-клиентов это означает проверку уже сегодня, что их поставщик имеет документированный и проверяемый план соответствия eIDAS 2.0.

Правовая база, применяемая к обязательствам поставщиков электронной подписи

Нормативная цепь, применяемая к поставщикам электронной подписи, работающим во Франции, строится на нескольких взаимодополняющих иерархических уровнях.

Гражданский кодекс Франции — Статьи 1366 и 1367

Статья 1366 Гражданского кодекса признает электронный документ равноценным доказательством письменного документа при условии, что « может быть должным образом идентифицировано лицо, из которого он исходит, и он установлен и сохранен таким образом, который гарантирует его целостность ». Статья 1367 уточняет, что электронная подпись « состоит в использовании надежного процесса идентификации, гарантирующего его связь с актом, к которому она прилагается ». Презумпция надежности применяется к квалифицированным подписям в смысле eIDAS, возлагая бремя доказывания на противную сторону в пользу подписывающего.

Регламент eIDAS № 910/2014/ЕС

Этот регламент имеет прямое применение во всех государствах-членах и устанавливает правовую базу для услуг доверия. Его статья 26 определяет условия продвинутой электронной подписи; статья 28 — требования к квалифицированным сертификатам; Приложение I детализирует обязательное содержание этих сертификатов. Квалифицированные ПУД пользуются презумпцией соответствия техническим и правовым требованиям регламента (статья 19§2), что составляет значительное преимущество в случае судебного разбирательства.

Регламент eIDAS 2.0 — (ЕС) 2024/1183

Опубликованный 30 апреля 2024 г., этот изменяющий регламент вводит новые категории услуг доверия (квалифицированные свидетельства атрибутов, квалифицированные услуги архивирования) и усиливает требования надзора. Он отменяет и частично заменяет регламент 910/2014 с постепенным применением в соответствии с исполняющими актами Комиссии ЕС.

GDPR — Регламент (ЕС) 2016/679

GDPR применяется к любой обработке личных данных в контексте услуги электронной подписи. Статьи 5 (принципы законности), 6 (правовая основа), 9 (конфиденциальные данные), 13-14 (информирование), 28 (передача обработки), 32 (безопасность), 33-34 (уведомление о нарушении), 35 (AIPD) и 37 (DPO) составляют наиболее часто применяемые положения. CNIL является органом надзора, компетентным во Франции, и может налагать штрафы до 20 миллионов евро или 4% годового мирового оборота (статья 83§5 GDPR).

Директива NIS2 — (ЕС) 2022/2555

Введенная в французское право законом № 2023-703 от 1 августа 2023 г., директива NIS2 классифицирует значительные ПУД среди важных или критических организаций, подлежащих обязательствам по управлению рисками кибербезопасности и уведомлению об инцидентах ANSSI в течение 24 часов (раннее предупреждение) и затем 72 часов (полное уведомление).

Стандарты ETSI

Набор стандартов EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 и TS 119 431 составляет обязательный технический справочник для аудита квалификации. Их несоблюдение приводит к невозможности получить или сохранить квалифицированный статус.

Правовые риски в случае несоответствия

Несоответствующий поставщик подвергается риску: исключения из французского списка TSL, возложения его договорной и внедоговорной ответственности, административных санкций CNIL, штрафов NIS2, которые могут достигать 10 миллионов евро или 2% мирового оборота для важных организаций и 20 миллионов или 4% оборота для критических организаций, а также судебных исков клиентов, понесших убытки из-за юридически недействительных подписей.

Сценарии использования: как компании проверяют соответствие своего ПУД

Сценарий 1 — Промышленная группа, управляющая 3 000 контрактов поставщиков в год

Промышленная группа среднего размера (ПСП), работающая в производстве механического оборудования, дематериализует все свои контракты с поставщиками через облачную платформу электронной подписи. При внутреннем аудите, инициированном после нормативного изменения, юридический отдел выясняет, что первоначально выбранный поставщик — выбранный по критерию цены — не указан ни в французском TSL, ни в каком-либо европейском TSL. Выдаваемые подписи имеют тип « простая » без надежного механизма идентификации подписывающего.

Столкнувшись с правовым риском — вся совокупность подписанных контрактов может увидеть оспорену свою доказательственную ценность в случае судебного разбирательства — компания начинает миграцию к квалифицированному ПУД ANSSI. Новое решение включает продвинутую подпись с квалифицированным сертификатом, квалифицированную временную метку и экспортируемый аудит. Проект миграции, реализованный менее чем за 8 недель, позволяет ретроспективно защитить новые акты и установить соответствующую политику управления документами. Юридические команды оценивают, что риск судебных разбирательств, связанный со старыми контрактами, остается незначительным благодаря их исполнению без возражений, но любая новая подпись теперь защищена.

Наблюдаемые преимущества: сокращение на 60% потенциальных судебных разбирательств, связанных с подлинностью подписей, и экономия 3,5 дней в среднем времени подписания сложных контрактов благодаря автоматизации рабочего процесса валидации.

Сценарий 2 — Юридическая фирма из 25 сотрудников, специализирующаяся на деловом праву

Юридическая фирма, желающая цифровизировать подпись мандатов, заключений и судебных актов, оценивает нескольких поставщиков. Сетка анализа включает следующие критерии: присутствие на TSL, публикация доступной ПС/ДМС, наличие соответствующего GDPR DPA, доступность обратимого DPO и сертификация удаленных QSCD.

Из пяти оцениваемых поставщиков только два полностью соответствуют всем критериям. Фирма в конечном итоге выбирает ПУД, предлагающий нативную квалифицированную подпись через удаленный QSCD, гарантирующий презумпцию надежности статьи 1367 Гражданского кодекса. Внедрение занимает 3 недели, включая обучение. Результат: 75% мандатов теперь подписаны менее чем за 24 часа вместо 5-7 дней ранее (почтовая отправка), и фирма может обосновать перед своими клиентами уровень правовой безопасности, предлагаемый решением — дифференцирующий аргумент в своих коммерческих предложениях.

Сценарий 3 — Больничный комплекс примерно на 1 200 мест

Больничный комплекс стремится дематериализовать трудовые договоры, конвенции о стажировке и соглашения о партнерстве с партнерскими учреждениями здравоохранения. Чувствительность обрабатываемых данных (данные здоровья медицинского персонала, HR-данные) требует особой бдительности в отношении обязательств ПУД по GDPR.

ИТ-директор и DPO организации требуют: размещение данных во Франции у провайдера здравоохранения, сертифицированного HDS (Hébergeur de Données de Santé, сертификация, предусмотренная статьей L.1111-8 Кодекса общественного здравоохранения), отсутствие передачи вне ЕЭЗ, задокументированное AIPD для обработки идентификации подписывающих и подписанный DPA до любого развертывания в продакшене.

После выбора ПУД, отвечающего этим критериям, развертывание в приоритете охватывает HR контракты (примерно 800 актов в год). Среднее время подписания контрактов с фиксированным сроком снижается с 9 дней до менее 48 часов, освобождая значительную пропускную способность для команд отдела кадров. Учреждение также располагает полной отслеживаемостью всех собранных согласий, ежегодно проверяемой своим DPO.

Заключение

Правовые обязательства, возлагаемые на поставщиков электронной подписи во Франции, составляют требовательный нормативный свод: квалификация eIDAS, соответствие GDPR, соблюдение стандартов ETSI, обязательства NIS2 и предстоящая адаптация к eIDAS 2.0. Для компаний-пользователей обеспечение соответствия своего ПУД не является факультативной деятельностью — это непременное условие доказательственной ценности подписанных актов и защиты личных данных подписывающих.

Certyneo — поставщик электронной подписи, разработанный для соответствия всем этим требованиям: соответствие eIDAS, GDPR by design, суверенное размещение и задокументированная дорожная карта eIDAS 2.0. Готовы ли вы защитить свои подписи в полном соответствии? Свяжитесь с нами и получите персональное сопровождение с первого дня.