Povinnosti poskytovateľa podpisu spoločnosti eIDAS Francúzsko

Úvod

Nasadenie riešenia elektronického podpisu vo Francúzsku sa nedá improvizovať. Za každým kvalifikovaným alebo pokročilým podpisom sa skrýva desiatky právnych povinností, ktoré viažu na poskytovateľa služieb dôvery (PSCo). Nariadenie eIDAS, GDPR, všeobecný referenčný rámec bezpečnosti, normy ETSI... právny rámec je naraz hustý aj vyvíjajúci sa. Pre podnikové používatele je nevyhnutné pochopiť tieto právne povinnosti poskytovateľa podpisu elektronického podpisu Francúzsko eIDAS GDPR, aby si vybrali súladu podľahajúceho partnera a aby sa vyhli akémukoľvek právnemu riziku. Tento článok detailne rozpracováva, sekcia za sekciou, všetky požiadavky aplikovateľné na PSCo pôsobiace na francúzskom území.

---

Status poskytovateľa kvalifikovaných služieb dôvery

Čo je PSCo v zmysle eIDAS?

Nariadenie eIDAS č. 910/2014 rozlišuje dve kategórie poskytovateľov : poskytovateľov služieb dôvery nekvalifikovaných a poskytovateľov kvalifikovaných (PSCQ). Prví môžu ponúkať služby jednoduchého alebo pokročilého elektronického podpisu bez povinného auditu tretej strany. Druhí — jediní oprávnení vydávať kvalifikované podpisy v zmysle článku 3(15) eIDAS — musia spĺňať výrazne prísnejšie požiadavky.

Vo Francúzsku plní úlohu orgánu dohľadu („Supervisory Body") podľa článku 17 eIDAS Agentúra národnej bezpečnosti informačných systémov (ANSSI). Vydáva a spravuje francúzsky zoznam dôvery (TSL — Trust Service List), dostupný na jej oficiálnej stránke, ktorý obsahuje zoznam kvalifikovaných poskytovateľov a ich služieb.

Postup kvalifikácie : audit a zhoda

Aby PSCo získal kvalifikovaný status, musí nevyhnutne :

• Dať auditovať svoje služby orgánom na hodnotenie zhody (CAB — Conformity Assessment Body) akreditovaným COFRAC podľa normy EN ISO/IEC 17065.

• Predložiť správu z auditu ANSSI, ktorá rozhoduje o udelení kvalifikovaného statusu. Tento status sa prehodnocuje aspoň každých 24 mesiacov (článok 20 §1 eIDAS).

• Upozorniť ANSSI na akúkoľvek podstatnú zmenu vo svojich službách do 3 mesiacov pred plánovanou zmenou (článok 21 eIDAS).

Nedodržanie týchto krokov vystavuje poskytovateľa vyradeniu zo zoznamu TSL a strate právnych presumpcií spojených s kvalifikovaným podpisom. Pre klientske spoločnosti používať PSCo neuvedený na TSL znamená neúmerne si užívať žiadne zákonné presumpcie spoľahlivosti.

> Ďalšie informácie o rôznych úrovniach podpisu a ich právnych účinkoch nájdete v našom (odkaz nie je uvádza v pôvodnom texte).

---

Technické povinnosti a povinnosti bezpečnosti PSCo

Dodržiavanie noriem ETSI

Kvalifikovaní poskytovatelia musia dodržiavať súbor európskych noriem vydávaných Európskym inštitútom telekomunikačných noriem (ETSI). Hlavné sú :

• ETSI EN 319 401 : všeobecné požiadavky bezpečnosti aplikovateľné na všetkých PSCo.

• ETSI EN 319 411-1 a 411-2 : politiky a postupy certifikačných autorít vydávajúcich certifikáty kvalifikovaného podpisu.

• ETSI EN 319 132 : formáty pokročilého elektronického podpisu (XAdES pre XML, PAdES pre PDF, CAdES pre CMS).

• ETSI EN 319 122 : formát CAdES pre kvalifikované podpisy.

• ETSI TS 119 431 : požiadavky na služby tvorby podpisu na diaľku (vzdialený QSCD).

Tieto normy sú povinné : nariadenie eIDAS (Príloha II, III a IV) sa na ne výslovne odvoláva, aby definovalo minimálne požiadavky na certifikáty kvalifikované a zariadenia na tvorbu podpisu.

Správa bezpečných zariadení na tvorbu podpisu (QSCD)

Jedným z pilierov kvalifikovaného podpisu je použitie bezpečného zariadenia na tvorbu podpisu (QSCD — Qualified Signature Creation Device) v súlade s Prílohou II eIDAS. Poskytovateľ musí zaistiť, že :

• Súkromný kľúč podepisujúceho nemôže byť generovaný, uložený alebo skopírovaný mimo QSCD.

• Generovanie kľúča sa vykonáva výlučne v certifikovanom prostredí (certifikácia Common Criteria EAL 4+ alebo ekvivalentné).

• Autentifikácia podepisujúceho pred akýmkoľvek aktom podpisu spočíva na aspoň dvoch faktoroch autentifikácie.

V kontexte podpisu na diaľku — čoraz častejšie rozšíreného v SaaS prostrediach — sa tieto požiadavky vzťahujú na server HSM (Hardware Security Module) hostujúci kľúče. ANSSI publikovala špecifické profily ochrany (PP-0075, PP-0076) definujúce kritériá bezpečnosti, ktoré sa majú dosiahnuť.

Politika kontinuity a notifikácia incidentov

Článok 19 eIDAS nariadi všetkým poskytovateľom služieb dôvery (kvalifikovaným alebo nie) :

• Upozorniť orgán dohľadu (ANSSI) a prípadne orgán ochrany údajov (CNIL) do 24 hodín od detekcie porušenia bezpečnosti, ktoré môže mať vplyv na spoľahlivosť služby.

• Viesť zdokumentovaný a pravidelne testovaný plán pokračovania činnosti.

• Disponovať formalizovanou politikou bezpečnosti informácií, pokrývajúcou najmä riadenie rizík, riadenie incidentov a politiku zálohy.

Tieto požiadavky sa čiastočne prekrývajú s požiadavkami smernice NIS2 (2022/2555/EÚ), transponovanej do francúzskeho práva zákonom č. 2023-703 z 1. augusta 2023, ktorá klasifikuje PSCo významnej veľkosti medzi dôležité alebo kritické entity podliehajúce posilneným povinnostiam kybernetickej bezpečnosti.

> Objavte, ako integrovať tieto obmedzenia do svojich dokumentárnych pracovných postupov (odkaz nie je uvedený v pôvodnom texte).

---

Špecifické povinnosti GDPR pre PSCo

Je PSCo správcom údajov alebo spracovateľom?

Klasifikácia GDPR poskytovateľa závisí od povahy poskytovanej služby :

• Keď PSCo priamo vydáva kvalifikované certifikáty v mene podepisujúceho a určuje účely spracúvania osobných údajov (identita, biometrické údaje autentifikácie), konajú ako správca údajov v zmysle článku 4(7) GDPR.

• Keď integruje svoje API do platformy klienta B2B a spracúva osobné údaje len podľa pokynov tohto klienta, má kvalitu spracovateľa (článok 4(8) GDPR) a musí povinne uzavrieť DPA (Dohoda o spracovaní údajov) v súlade s článkom 28 GDPR.

V praxi väčšina SaaS PSCo spĺňa obe kvalifikácie : správca pre správu svojej vlastnej infraštruktúry certifikácie, spracovateľ pre spracovanie dokumentov a metadát podepisujúcich.

Špecifické povinnosti súvisiace s biometrickými údajmi a údajmi identity

Identifikácia a autentifikácia podepisujúceho — povinný krok na vydanie kvalifikovaného certifikátu — často znamená spracovanie citlivých údajov : skeny dokladov totožnosti, videozáznam selfie, biometrické údaje rozpoznávania tváre. Tieto údaje predstavujú osobné údaje podliehajúce GDPR, alebo dokonca biometrické údaje spadajúce pod článok 9 GDPR (zvláštne kategórie).

Povinnosti PSCo zahŕňajú :

• Právny základ : explicitný súhlas (článok 9§2a) alebo v niektorých prípadoch právna povinnosť (článok 9§2b) na spracovanie biometrických údajov.

• Obmedzenosť lehoty uchovania : podľa pokynov CNIL je potrebné uchovávať identifikačné údaje len tak dlho, ako je to striktne potrebné, zvyčajne v súlade s platnosťou certifikátu + zákonná lehota dôkazu (často 10 rokov na súkromných aktoch, článok 2224 francúzskeho občianskeho zákonníka).

• Povinná analýza vplyvu (AIPD) (článok 35 GDPR) akonáhle spracovanie môže predstavovať vysoké riziko — čo je systematicky prípad biometrie.

• Register spracúvania (článok 30 GDPR) vedený v aktuálnom stave a dokumentujúci jednotlivé kategórie spracúvania.

Medzinárodné prenosy údajov

Mnohí PSCo ubytúvajú všetku alebo časť svojej infraštruktúry mimo Európskeho hospodárskeho priestoru (EHP). V tomto prípade sa vzťahujú vhodné záruky vyžadované kapitolou V GDPR : rozhodnutie o primeranosti, štandardné zmluvy (SCCs) Komisie Európskej komisie alebo záväzné pravidlá podniku (BCR). Rozsudok Schrems II (SDZEU, C-311/18, 16. júla 2020) pripomenul, že prenosy do Spojených štátov vyžadujú predchádzajúcu analýzu rizík krajiny.

> Aby ste pochopili vplyv týchto pravidiel na vašu organizáciu, pozrite si naše (odkaz nie je uvedený v pôvodnom texte).

---

Povinnosti transparentnosti a informovania užívateľov

Politika certifikácie (PC) a vyhlásenie o postupoch certifikácie (DPC)

Všetci PSCo vydávajúci certifikáty sú povinní publikovať Politiku Certifikácie (PC) a Vyhlásenie Postupov Certifikácie (DPC) v súlade s normou ETSI EN 319 411. Tieto verejne dostupné dokumenty podrobne špecifikujú :

• Postupy identifikácie a registrácie podepisujúcich.

• Fyzické a logické bezpečnostné opatrenia nasadené.

• Podmienky zrušenia certifikátov a súvisiace lehoty.

• Zodpovednosti a obmedzenia záruk PSCo.

Neprítomnosť alebo neúplnosť týchto dokumentov predstavuje nesúlad, ktorý je možné odhaliť počas auditu prequalifikácie vykonaného akreditovaným orgánom.

Pred-zmluvné a zmluves informovanie klientov

Okrem čisto technických povinností článok 13 GDPR nariadi PSCo poskytnúť každej osobe, ktorej údaje sú zbierané, jasné a dostupné informácie o :

• Identite správcu údajov a kontaktných údajoch DPO (povinné pre PSCo, ktoré v rozsiahlej miere spracúvajú citlivé údaje, článok 37 GDPR).

• Účeloch a právnych základoch jednotlivých spracovaní.

• Právach osôb (prístup, oprava, vymazanie, prenositeľnosť, námietka).

• Prípadných príjemcoch údajov (spracovateľoch, orgánoch).

Tieto informácie musia byť zahrnuté v politike ochrany súkromia služby, v všeobecných podmienkach a prípadne v DPA uzatvorenej s profesionálnymi klientmi.

Kvalifikované časové razítko a auditný záznamu

Aby sa zabezpečila dlhodobá právna hodnota podpisov, zodpovední PSCo systematicky spájajú kvalifikované elektronické časové razítko (článok 42 eIDAS) s každým podpísaným aktom. Toto časové razítko predstavuje zákonne predpokladaný dôkaz existencie údajov k uvedenému dátumu. Vedenie auditného záznamu (identifikačné záznamy, otlačok dokumentu, podpisové údaje) je faktická povinnosť, aby bola možná akákoľvek neskoršia súdna verifikácia.

> Porovnajte riešenia na trhu podľa týchto kritérií v našom (odkaz nie je uvedený v pôvodnom texte).

---

eIDAS 2.0 : nové povinnosti v horizonte 2026-2027

Nariadenie eIDAS 2.0 (EÚ) 2024/1183

Publikované v Úradnom vestníku EÚ 30. apríla 2024 nariadenie (EÚ) 2024/1183 nazývané „eIDAS 2.0" výrazne sprísnuje povinnosti PSCo okolo troch osí :

• Európska peňaženka digitálnej identity (EUDI Wallet) : členské štáty musia sprístupniť certifikovanú peňaženku digitálnej identity do 2. novembra 2026. PSCo budú musieť integrovať svoju službu s touto peňaženkou, aby ponúkli kvalifikované podpisy cez identitu eIDAS 2.0.

• Správa osvedčení o vlastnostiach : eIDAS 2.0 predstavuje kvalifikované osvedčenia o vlastnostiach (QEAAs), vydávané kvalifikovanými poskytovateľmi osvedčení. Budú sa vzťahovať nové postupy auditu a kvalifikácie.

• Zintenzívnenie dohľadu : národné orgány dohľadu (ANSSI pre Francúzsko) majú rozšírené právomoci, najmä schopnosť vykonávať neplánované audity a ukladať nútené nápravné opatrenia v skrátených lehotách.

Praktické dôsledky pre súčasných poskytovateľov

PSCo už kvalifikovaní podľa eIDAS 1.0 budú musieť postupne dosiahnuť zhodu pred lehotami stanovenými vykoňovacími aktmi Komisie (publikovanými alebo v príprave). Hlavné prispôsobenia sa týkajú :

• Prestavby infraštruktúry identifikácie, aby podporovala EUDI Wallet ako prostriedok autentifikácie.

• Aktualizácia PC/DPC, aby integrovali nové typológie certifikátov a osvedčení.

• Posilnenie požiadaviek bezpečnosti vzdialených QSCD s novými chystanými profilmi ochrany.

Pre klientske spoločnosti to znamená overiť si už dnes, že ich poskytovateľ má zdokumentovanú a overiteľnú roadmap zhody eIDAS 2.0.

Právny rámec vzťahujúci sa na povinnosti poskytovateľov elektronického podpisu

Normatívny reťazec aplikovateľný na poskytovateľov elektronického podpisu pôsobiace vo Francúzsku je usporiadaný na niekoľko hierarchických komplementárnych úrovní.

Francúzsky občiansky zákonník — Články 1366 a 1367

Článok 1366 Občianskeho zákonníka uznáva elektronický písomný dokument ako ekvivalentný spôsob dôkazu ako papierový podpis, za podmienky, že „je možné riadne identifikovať osobu, z ktorej vychádza a je vytvorený a uchovávaný za podmienok, ktoré zaisťujú jej integritu". Článok 1367 objasňuje, že elektronický podpis „spočíva v používaní spoľahlivého postupu identifikácie, ktorý zaručuje jej prepojenie s aktom, k ktorému sa viaže". Presumpcia spoľahlivosti prospešná kvalifikovaným podpisom v zmysle eIDAS spôsobuje obrátenie dôkazného bremena v prospech podepisujúceho.

Nariadenie eIDAS č. 910/2014/EÚ

Toto nariadenie, ktoré má priame aplikácie vo všetkých členských štátoch, ustanovuje právny rámec služieb dôvery. Jeho článok 26 definuje podmienky pokročilého elektronického podpisu ; jeho článok 28 požiadavky na certifikáty kvalifikované ; jeho Príloha I podrobne špecifikuje povinný obsah týchto certifikátov. Kvalifikovaní PSCo majú benefit presumpcie zhody s požiadavkami technickými a právnymi nariadenia (článok 19§2), čo predstavuje kľúčové výhody v prípade sporu.

Nariadenie eIDAS 2.0 — (EÚ) 2024/1183

Publikované 30. apríla 2024 toto zmieňujúce nariadenie predstavuje nové kategórie služieb dôvery (kvalifikované osvedčenia o vlastnostiach, kvalifikované archivačné služby) a sprísnuje povinnosti dohľadu. Zrušuje a čiastočne nahradza nariadenie 910/2014 s postupným začatím platnosti podľa vykoňovacích aktov Komisie Európskej komisie.

GDPR — Nariadenie (EÚ) 2016/679

GDPR sa vzťahuje na akékoľvek spracovanie osobných údajov vykonávané v rámci služby elektronického podpisu. Články 5 (princípy zákonnosti), 6 (právny základ), 9 (citlivé údaje), 13-14 (informovanie), 28 (spracovanie), 32 (bezpečnosť), 33-34 (notifikácia porušenia), 35 (AIPD) a 37 (DPO) predstavujú najčastejšie uplatniteľné ustanovenia. CNIL je príslušným dozorovným orgánom v Francúzsku a môže ukladať pokuty až do 20 miliónov eur alebo 4 % celoročného svetového obratu (článok 83§5 GDPR).

Smernica NIS2 — (EÚ) 2022/2555

Transponovaná do francúzskeho práva zákonom č. 2023-703 z 1. augusta 2023, NIS2 klasifikuje významných PSCo medzi dôležité alebo kritické entity podliehajúce povinnostiam riadenia kybernetických rizík a notifikácie incidentov ANSSI do 24 hodín (skoré upozornenie) a následne do 72 hodín (úplná notifikácia).

Normy ETSI

Všetky normy EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 a TS 119 431 predstavujú povinný technický referenčný rámec na audit kvalifikácie. Ich nedodržanie vedie k nemožnosti získať alebo udržiavať kvalifikovaný status.

Právne riziká v prípade nesúladu

Nesúlad poskytovateľa vystavuje : vyradeniu zo francúzskeho TSL, preukázaniu jeho zmluvnej a mimozmluvnej zodpovednosti, administratívnym pokutem CNIL, pokutem NIS2, ktoré môžu dosiahnuť 10 miliónov eur alebo 2 % celoročného svetového obratu pre dôležité entity a 20 miliónov alebo 4 % celoročného obratu pre kritické entity, ako aj súdnym rekom klientov, ktorí utrpeli ujmu v dôsledku neplatných podpisov z právneho hľadiska.

Scenáre používania : ako podniky overujú zhodu svojho PSCo

Scenár 1 — Priemyselná skupina spravujúca 3 000 zmlúv s dodávateľmi ročne

Priemyselná skupina strednej veľkosti (ETI), pôsobiaca vo výrobe mechanických zariadení, dematerializuje všetky zmluvy s dodávateľmi cez SaaS platformu elektronického podpisu. Počas interného auditu spusteného po regulačnej zmene si právny odbor všimne, že zvolený poskytovateľ — pôvodne vybraný na základe ceny — nie je uvedený ani na TSL France, ani na žiadnom TSL v Európe. Vydávané podpisy sú typu „jednoduchý" bez robustného mechanizmu identifikácie podepisujúceho.

Čeliac právnemu riziku — celý súbor podpísaných zmlúv by mohla mať svoju právnu hodnotu spornú v prípade sporu — spoločnosť zahajuje migráciu na kvalifikovaný PSCo ANSSI. Nové riešenie integruje pokročilý podpis s kvalifikovaným certifikátom, kvalifikované elektronické časové razítko a exportovateľný auditný záznam. Migračný projekt, realizovaný za menej ako 8 týždňov, umožní retrospektívne zabezpečiť nové akty a vytvoriť zhodu politiku dokumentov. Právne tímy odhadujú, že riziko sporov spojené so starými zmluvami zostáva marginálne vzhľadom na ich plnenie bez námietok, ale všetok nový podpis je teraz kryty.

Pozorovateľné zisky : 60 % zníženie možných sporov súvisiacich s autentičnosťou podpisov a 3,5-dňový zisk v priemernom čase podpisu pri zložitých zmluvách vďaka automatizácii procesu validácie.

Scenár 2 — Právnická kancelária s 25 pracovníkmi špecializovaná na právo obchodu

Právnická kancelária, ktorá chce digitalizovať podpis plnomocenstiev, konzultácií a procesných aktov, hodnotí niekoľko poskytovateľov. Jeho analýza zahŕňa nasledujúce kritériá : prítomnosť na TSL, publikovanie dostupného PC/DPC, existencia GDPR-kompatibilného DPA, dostupnosť dosiahnuteľného DPO a certifikácia vzdialených QSCD.

Z piatich hodnotených poskytovateľov iba dvaja spĺňajú všetky kritériá. Kancelária nakoniec zvolí PSCo ponúkajúceho natívne kvalifikovaný podpis cez vzdialený QSCD, zaručujúci presumpciu spoľahlivosti článku 1367 Občianskeho zákonníka. Implementácia trvá 3 týždne vrátane školenia. Výsledok : 75 % plnomocenstiev je teraz podpísaných za menej ako 24 hodín v porovnaní s 5 až 7 dňami predtým (poštová zásielka) a kancelária môže svojím klientom zdôvodniť úroveň právnej bezpečnosti ponúkaného riešenia — rozlišujúci argument v jej obchodných ponukách.

Scenár 3 — Nemocničné zoskupenie s približne 1 200 lôžkami

Nemocničné zoskupenie chce dematerializovať pracovné zmluvy, dohody o stážiach a partnerské dohody s partnerskými zdravotníckymi zariadeniami. Citlivosť spracovávaných údajov (údaje o zdravotní zdravotníckeho personálu, HR údaje) vyžaduje zvýšenú pozornosť na GDPR povinnosti PSCo.

IT sektor a DPO zdravotníckeho zariadenia vyžadujú : ubytovanie údajov vo Francúzsku u certifikovaného poskytovateľa údajov o zdravotnictví HDS (Hébergeur de Données de Santé, certifikácia predpokladaná článkom L.1111-8 francúzskeho kódexu verejného zdravia), žiadny prenos mimo EHP, zdokumentovaná AIPD na spracovanie identifikácie podepisujúcich a podpísaný DPA pred akoukoľvek implementáciou do produkcie.

Po výbere PSCo spĺňajúceho tieto kritériá sa nasadenie zameriava v prvom rade na HR zmluvy (približne 800 aktov ročne). Priemerný čas podpisu zmlúv s určitou dobou trvania sa znižuje z 9 dní na menej ako 48 hodín, čím sa oslobodzuje významná kapacita pre tímy ľudských zdrojov. Zariadenie má navyše úplnú sledovateľnosť zhromaždených súhlasov, auditovanú ročne svojím DPO.

Záver

Právne povinnosti tlačiace na poskytovateľov elektronického podpisu vo Francúzsku tvoria náročný normatívny súbor : kvalifikácia eIDAS, zhoda GDPR, dodržiavanie noriem ETSI, povinnosti NIS2 a bezprostredné prispôsobenie sa eIDAS 2.0. Pre podnikové používatele nie je zabezpečenie zhody svojho PSCo fakultatívnym postupom — je to sínusová podmienka právnej hodnoty podpísaných aktov a ochrany osobných údajov podepisujúcich.

Certyneo je poskytovateľ elektronického podpisu navrhnutý tak, aby spĺňal všetky tieto požiadavky : zhoda eIDAS, GDPR od návrhu, suverénny hosting a zdokumentovaná roadmap eIDAS 2.0. Ste pripravení zabezpečiť svoje podpisy v plnej zhode ? Kontaktujte nás a užívajte si personalizovanú podporu od prvého dňa.