Обязательства поставщика услуг электронной подписи во Франции

Введение

Развёртывание решения электронной подписи во Франции требует серьёзного подхода. За каждой квалифицированной или продвинутой подписью скрываются десятки правовых обязательств, возлагаемых на поставщика услуг доверия (PSCo). Регламент eIDAS, RGPD, общий стандарт безопасности, нормы ETSI… нормативно-правовая база одновременно обширна и динамична. Для компаний-пользователей понимание этих правовых обязательств поставщика услуг электронной подписи во Франции eIDAS RGPD необходимо для выбора надёжного партнёра и избежания любых юридических рисков. Данная статья подробно освещает все требования, применимые к PSCo, работающим на французской территории.

---

Статус поставщика квалифицированных услуг доверия

Что такое PSCo в контексте eIDAS ?

Регламент eIDAS № 910/2014 различает две категории поставщиков: поставщики услуг доверия неквалифицированные и поставщики квалифицированные (PSCQ). Первые могут предлагать услуги простой или продвинутой электронной подписи без обязательного независимого аудита. Вторые — единственные имеющие право выдавать квалифицированные подписи в соответствии со статьёй 3(15) eIDAS — должны удовлетворять значительно более строгим требованиям.

Во Франции роль органа надзора (« Supervisory Body »), предусмотренная статьёй 17 eIDAS, отведена Национальному агентству безопасности информационных систем (ANSSI). Оно публикует и поддерживает французский список доверия (TSL — Trust Service List), доступный на его официальном сайте, в котором перечислены квалифицированные поставщики и их услуги.

Процедура квалификации: аудит и соответствие

Для получения статуса квалифицированного PSCo обязательно должен:

• Провести аудит своих услуг через организацию по оценке соответствия (CAB — Conformity Assessment Body), аккредитованную COFRAC в соответствии со стандартом EN ISO/IEC 17065.

• Представить отчёт об аудите в ANSSI, которое выносит решение о предоставлении статуса квалифицированного. Этот статус переоценивается не реже чем каждые 24 месяца (статья 20 §1 eIDAS).

• Уведомить ANSSI о любых существенных изменениях в своих услугах в течение 3 месяцев до предусмотренного изменения (статья 21 eIDAS).

Несоблюдение этих шагов подвергает поставщика исключению из TSL и потере правовых презумпций надёжности, связанных с квалифицированной подписью. Для компаний-клиентов использование PSCo, не указанного в TSL, означает отсутствие какой-либо законной презумпции надёжности.

> Для дополнительной информации о различных уровнях подписи и их юридических последствиях см. наш полный справочник по регламенту eIDAS 2.0.

---

Технические обязательства и требования безопасности, налагаемые на PSCo

Соответствие стандартам ETSI

Квалифицированные поставщики должны соответствовать набору европейских стандартов, опубликованных Европейским институтом стандартизации телекоммуникаций (ETSI). Основные из них:

• ETSI EN 319 401 : общие требования безопасности, применимые ко всем PSCo.

• ETSI EN 319 411-1 и 411-2 : политики и практики органов сертификации, выдающих сертификаты квалифицированной подписи.

• ETSI EN 319 132 : форматы продвинутой электронной подписи (XAdES для XML, PAdES для PDF, CAdES для CMS).

• ETSI EN 319 122 : формат CAdES для квалифицированных подписей.

• ETSI TS 119 431 : требования к услугам удалённого создания подписи (удалённый QSCD).

Эти стандарты не являются факультативными: регламент eIDAS (Приложения II, III и IV) на них прямо ссылается для определения минимальных требований к квалифицированным сертификатам и устройствам создания подписи.

Управление защищёнными устройствами создания подписи (QSCD)

Одним из столпов квалифицированной подписи является использование защищённого устройства создания подписи (QSCD — Qualified Signature Creation Device), соответствующего Приложению II eIDAS. Поставщик должен гарантировать, что:

• Приватный ключ подписывающей стороны не может быть создан, сохранён или скопирован вне QSCD.

• Генерация ключа происходит исключительно в сертифицированной среде (сертификация Common Criteria EAL 4+ или эквивалент).

• Аутентификация подписывающей стороны перед любым актом подписания основана на не менее чем двух факторах аутентификации.

В контексте удалённой подписи — всё более распространённой в SaaS-окружении — эти требования применяются к серверу HSM (аппаратному модулю безопасности), на котором размещены ключи. ANSSI опубликовала специфические профили защиты (PP-0075, PP-0076), определяющие критерии безопасности, которые необходимо достичь.

Политика непрерывности и уведомления об инцидентах

Статья 19 eIDAS обязывает всех поставщиков услуг доверия (квалифицированных или нет) на:

• Уведомлять орган надзора (ANSSI) и, при необходимости, орган по защите данных (CNIL), в течение 24 часов после обнаружения нарушения безопасности, которое может повлиять на надёжность услуги.

• Иметь документированный и регулярно тестируемый план непрерывности деятельности.

• Располагать политикой информационной безопасности, охватывающей в частности управление рисками, управление инцидентами и политику резервного копирования.

Эти требования частично пересекаются с требованиями директивы NIS2 (2022/2555/UE), трансспонированной в французское законодательство законом № 2023-703 от 1 августа 2023 г., которая классифицирует значительные PSCo среди важных или критических объектов, подлежащих усиленным обязательствам кибербезопасности.

> Узнайте, как электронная подпись для юридических фирм должна интегрировать эти ограничения в свои документооборот.

---

Специальные обязательства RGPD для PSCo

PSCo как ответственный за обработку или обработчик данных?

Классификация PSCo в соответствии с RGPD зависит от характера оказываемой услуги:

• Когда PSCo непосредственно выдаёт квалифицированные сертификаты от имени подписывающей стороны и определяет цели обработки персональных данных (личность, биометрические данные аутентификации), он действует как ответственный за обработку в смысле статьи 4(7) RGPD.

• Когда он интегрирует свой API на платформу B2B-клиента и обрабатывает персональные данные исключительно по инструкциям этого клиента, он выступает как обработчик (статья 4(8) RGPD) и обязан заключить DPA (Соглашение об обработке данных), соответствующее статье 28 RGPD.

На практике большинство SaaS PSCo совмещают обе роли: ответственные за управление собственной инфраструктурой сертификации, обработчики для обработки документов и метаданных подписывающих сторон.

Специальные обязательства, связанные с биометрическими данными и данными личности

Идентификация и аутентификация подписывающей стороны — обязательный этап выдачи квалифицированного сертификата — часто предполагает обработку конфиденциальных данных: сканирование удостоверения личности, видеосамозапись, биометрические данные распознавания лица. Эти данные представляют собой персональные данные, подлежащие RGPD, или даже биометрические данные, охватываемые статьёй 9 RGPD (особые категории).

Обязательства PSCo включают:

• Правовое основание : явное согласие (статья 9§2a) или, в некоторых случаях, правовое обязательство (статья 9§2b) для обработки биометрических данных.

• Ограниченный период хранения : согласно рекомендациям CNIL, данные идентификации должны сохраняться только необходимое время, обычно согласованное с периодом действия сертификата + правовой срок доказывания (часто 10 лет для частных документов, статья 2224 Гражданского кодекса).

• Оценка влияния (AIPD) обязательна (статья 35 RGPD), когда обработка может создавать высокий риск — что систематически имеет место для биометрии.

• Реестр обработок (статья 30 RGPD) ведётся в актуальном состоянии и документирует каждую категорию обработки.

Международные передачи данных

Многие PSCo размещают всю или часть своей инфраструктуры вне Европейского экономического пространства (ЕЭП). В этом случае надлежащие гарантии, требуемые главой V RGPD, становятся обязательными: решение об адекватности, стандартные договорные положения (SCC) Комиссии ЕС или внутрикорпоративные правила (BCR). Решение Schrems II (CJEU, C-311/18, 16 июля 2020) напомнило, что передачи в Соединённые Штаты требуют предварительного анализа рисков по странам.

> Чтобы понять влияние этих правил на вашу организацию, см. нашу справку по электронной подписи в компании.

---

Обязательства по прозрачности и информированию пользователей

Политика сертификации (ПС) и Заявление о практике сертификации (ЗПС)

Каждый PSCo, выдающий сертификаты, обязан опубликовать Политику сертификации (ПС) и Заявление о практике сертификации (ЗПС) в соответствии со стандартом ETSI EN 319 411. Эти документы, свободно доступные, содержат:

• Процедуры идентификации и регистрации подписывающих сторон.

• Меры физической и логической безопасности, развёрнутые.

• Условия отзыва сертификатов и связанные с этим сроки.

• Ответственность и ограничения гарантии PSCo.

Отсутствие или неполнота этих документов представляет собой несоответствие, которое может быть выявлено при аудите переквалификации уполномоченной организацией.

Доконтрактная и контрактная информация клиентам

Помимо чисто технических обязательств, статья 13 RGPD обязывает PSCo предоставить каждому лицу, чьи данные собираются, ясную и доступную информацию о:

• Личности ответственного за обработку и контактные данные DPO (обязательно для PSCo, обрабатывающих в большом объёме конфиденциальные данные, статья 37 RGPD).

• Целях и правовых основаниях каждой обработки.

• Правах лиц (доступ, исправление, удаление, портативность, возражение).

• Возможных получателях данных (обработчики, органы власти).

Эта информация должна фигурировать в политике конфиденциальности услуги, в условиях использования и, при необходимости, в DPA, заключённом с профессиональными клиентами.

Квалифицированное временное клеймение и аудит

Для гарантии доказательственной ценности подписей на длительный срок ответственные PSCo систематически связывают квалифицированное электронное временное клеймение (статья 42 eIDAS) с каждым подписанным актом. Это клеймение является законной презумпцией доказательства существования данных на указанную дату. Сохранение пути аудита (логи идентификации, отпечаток документа, данные подписи) фактически является обязательством для любой последующей судебной проверки.

> Сравните рыночные решения согласно этим критериям в нашем сравнении решений электронной подписи.

---

eIDAS 2.0 : новые обязательства к 2026-2027 годам

Регламент eIDAS 2.0 (EU) 2024/1183

Опубликованный в Официальном журнале ЕС 30 апреля 2024 г., регламент (EU) 2024/1183 так называемый « eIDAS 2.0» существенно усиливает обязательства PSCo вокруг трёх направлений:

• Европейский портфель цифровой идентичности (EUDI Wallet) : государства-члены должны предоставить сертифицированный портфель цифровой идентичности к 2 ноября 2026 г. PSCo должны будут интегрировать свою услугу с этим портфелем для предложения квалифицированных подписей через eIDAS 2.0 идентичность.

• Управление квалифицированными аттестациями атрибутов : eIDAS 2.0 вводит квалифицированные аттестации атрибутов (QEAAs), выдаваемые квалифицированными поставщиками аттестации. Применяются новые процедуры аудита и квалификации.

• Усиление надзора : национальные органы надзора (ANSSI для Франции) получают расширенные полномочия, в частности возможность проводить внезапные аудиты и применять обязательные корректирующие меры в сокращённые сроки.

Практические последствия для нынешних поставщиков

PSCo, уже квалифицированные в соответствии с eIDAS 1.0, должны будут провести постепенное приведение в соответствие перед установленными сроками, определённые в актах имплементации Комиссии (опубликованные или находящиеся в процессе публикации). Основные адаптации касаются:

• Переработки инфраструктуры идентификации для поддержки EUDI Wallet как средства аутентификации.

• Обновления ПС/ЗПС для интеграции новых типологий сертификатов и аттестаций.

• Усиления требований безопасности удалённых QSCD с новыми профилями защиты.

Для компаний-клиентов это означает уже сегодня проверить наличие документированной roadmap соответствия eIDAS 2.0 у своего поставщика.

Нормативно-правовая база, применимая к обязательствам поставщиков электронной подписи

Нормативная цепочка, применимая к поставщикам услуг электронной подписи, работающим во Франции, построена на нескольких дополняющих друг друга иерархических уровнях.

Гражданский кодекс Франции — Статьи 1366 и 1367

Статья 1366 Гражданского кодекса признаёт электронный документ эквивалентным способом доказывания письменному документу при условии, что « может быть надлежащим образом определено лицо, от которого он исходит, и он создан и сохранён таким образом, который гарантирует целостность ». Статья 1367 уточняет, что электронная подпись « состоит в использовании надёжного процесса идентификации, гарантирующего его связь с актом, к которому она относится ». Презумпция надёжности благоприятствует квалифицированным подписям в смысле eIDAS, перелагая бремя доказывания в пользу подписывающей стороны.

Регламент eIDAS № 910/2014/EU

Этот регламент, имеющий прямое применение во всех государствах-членах, устанавливает правовую базу услуг доверия. Его статья 26 определяет условия продвинутой электронной подписи; его статья 28 требования квалифицированных сертификатов; его Приложение I детализирует обязательное содержание этих сертификатов. Квалифицированные PSCo пользуются презумпцией соответствия техническим и правовым требованиям регламента (статья 19§2), что представляет значительное преимущество в случае судебного разбирательства.

Регламент eIDAS 2.0 — (EU) 2024/1183

Опубликованный 30 апреля 2024 г., этот регламент-модификация вводит новые категории услуг доверия (квалифицированные аттестации атрибутов, квалифицированные услуги архивирования) и усиливает обязательства надзора. Он отменяет и частично заменяет регламент 910/2014 с постепенным применением согласно актам имплементации Комиссии.

RGPD — Регламент (EU) 2016/679

RGPD применяется к любой обработке персональных данных в контексте услуги электронной подписи. Статьи 5 (принципы законности), 6 (правовое основание), 9 (конфиденциальные данные), 13-14 (информирование), 28 (обработка), 32 (безопасность), 33-34 (уведомление о нарушении), 35 (AIPD) и 37 (DPO) представляют наиболее часто применяемые положения. CNIL является компетентным органом надзора во Франции и может налагать штрафы до 20 миллионов евро или 4 % годового глобального оборота (статья 83§5 RGPD).

Директива NIS2 — (EU) 2022/2555

Трансспонированная в французское законодательство законом № 2023-703 от 1 августа 2023 г., NIS2 классифицирует значительные PSCo среди важных или критических объектов, подлежащих обязательствам по управлению киберрисками и уведомления об инцидентах в ANSSI в течение 24 часов (раннее оповещение), затем 72 часа (полное уведомление).

Стандарты ETSI

Совокупность стандартов EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 и TS 119 431 представляет собой обязательный технический ориентир для аудита квалификации. Несоблюдение их приводит к невозможности получения или сохранения статуса квалифицированного.

Правовые риски в случае несоответствия

Несоответствующий поставщик подвергается риску: исключению из французского TSL, привлечению к контрактной и внеконтрактной ответственности, административными санкциями CNIL, штрафами NIS2, которые могут достичь 10 миллионов евро или 2 % глобального оборота для важных объектов и 20 миллионов или 4 % оборота для критических объектов, а также судебным исками клиентов, понёсших убытки в результате недействительных подписей.

Сценарии использования: как компании проверяют соответствие своего PSCo

Сценарий 1 — Промышленная группа, управляющая 3 000 контрактов с поставщиками в год

Промышленная группа среднего размера (ETI), работающая в производстве механического оборудования, дематериализует все контракты с поставщиками через SaaS-платформу электронной подписи. При внутреннем аудите, инициированном после изменения нормативных требований, юридический отдел обнаруживает, что выбранный поставщик — изначально отобранный по критерию цены — не указан ни в французском TSL, ни в каком-либо другом европейском TSL. Выданные подписи имеют тип « простая » без надёжного механизма идентификации подписывающей стороны.

Столкнувшись с правовым риском — вся совокупность подписанных контрактов может иметь оспариваемую доказательственную ценность в случае судебного разбирательства — компания начинает миграцию на квалифицированного PSCo ANSSI. Новое решение интегрирует продвинутую подпись с квалифицированным сертификатом, квалифицированное временное клеймение и экспортируемый путь аудита. Миграционный проект, реализованный менее чем за 8 недель, позволяет ретроспективно защитить новые акты и установить соответствующую политику документирования. Юридические команды оценивают остаточный риск содержательного оспаривания старых контрактов как минимальный в связи с их фактическим выполнением без претензий, но любая новая подпись теперь защищена.

Наблюдаемые выгоды: снижение на 60 % потенциальных споров, связанных с подлинностью подписей, и снижение в среднем на 3,5 дня времени подписания сложных контрактов благодаря автоматизации workflow валидации.

Сценарий 2 — Юридическая фирма из 25 сотрудников, специализирующаяся на коммерческом праве

Юридическая фирма, стремящаяся дигитализировать подпись мандатов, консультаций и судебных актов, оценивает нескольких поставщиков. Её лист оценки включает следующие критерии: наличие в TSL, публикация доступной ПС/ЗПС, наличие соответствующего RGPD DPA, доступность контактного DPO и сертификация удалённых QSCD.

Из пяти оценённых поставщиков только двое полностью удовлетворяют всем критериям. Фирма в итоге выбирает PSCo, предлагающий нативно квалифицированную подпись через удалённый QSCD, гарантирующую презумпцию надёжности статьи 1367 Гражданского кодекса. Развёртывание занимает 3 недели, включая обучение. Результат: 75 % мандатов теперь подписываются менее чем за 24 часа против 5-7 дней ранее (почтовая отправка), и фирма может доказать своим клиентам уровень правовой безопасности, предоставляемый решением — дифференцирующий аргумент в её коммерческих предложениях.

Сценарий 3 — Больничный комплекс примерно с 1 200 местами

Больничный комплекс планирует дематериализовать трудовые контракты, соглашения о практике и соглашения о партнёрстве с партнёрскими медицинскими учреждениями. Конфиденциальность обрабатываемых данных (медицинские данные медицинского персонала, данные HR) требует особой осторожности при соответствии RGPD требованиям PSCo.

IT-директорат и DPO учреждения требуют: размещение данных во Франции у сертифицированного поставщика хранилища медицинских данных HDS (Hébergeur de Données de Santé, сертификация предусмотрена статьёй L.1111-8 Кодекса общественного здоровья), отсутствие передачи вне ЕЭП, документированная AIPD для обработки идентификации подписывающих сторон, и подписанный DPA перед любым развёртыванием в продакшене.

После выбора PSCo, соответствующего этим критериям, развёртывание в первую очередь охватывает HR-контракты (примерно 800 актов в год). Среднее время подписания контрактов с определённым сроком сокращается с 9 дней до менее чем 48 часов, освобождая значительную ёмкость для команд человеческих ресурсов. Учреждение обладает кроме того полной отслеживаемостью собранных согласий, ежегодно аудируемых его DPO.

Заключение

Правовые обязательства, налагаемые на поставщиков услуг электронной подписи во Франции, составляют требовательный нормативный массив: квалификация eIDAS, соответствие RGPD, соблюдение стандартов ETSI, обязательства NIS2 и близкое приведение в соответствие с eIDAS 2.0. Для компаний-пользователей обеспечение соответствия своего PSCo — не факультативная процедура — это непременное условие доказательственной ценности подписанных актов и защиты персональных данных подписывающих сторон.

Certyneo — это поставщик услуг электронной подписи, разработанный для соответствия всем этим требованиям: соответствие eIDAS, RGPD by design, суверенное размещение и документированная roadmap eIDAS 2.0. Готовы защитить свои подписи в полном соответствии? Demandez une démonstration ou créez votre compte sur CertyneoЗапросите демонстрацию или создайте свой