Povinnosti poskytovania elektronickej podpisu vo Francúzsku

Úvod

Nasadenie riešenia elektronickej podpisu vo Francúzsku nie je niečo, čo sa dá improvizovať. Za každým kvalifikovaným alebo pokročilým podpisom sa skrýva desiatky právnych povinností, ktoré majú poskytovatelia služieb dôvery (PSCo). Nariadenie eIDAS, GDPR, všeobecný bezpečnostný rámec, normy ETSI… právny rámec je súčasne hustý a vyvíjajúci sa. Pre spoločnosti ako používateľov je pochopenie týchto právnych povinností poskytovania elektronickej podpisu vo Francúzsku eIDAS GDPR nevyhnutné na výber vyhovujúceho partnera a vyhnutie sa akémukoľvek právnemu riziku. Tento článok podrobne popisuje, časť za časťou, všetky požiadavky aplikovateľné na PSCo pôsobiace na francúzskom území.

---

Postavenie kvalifikovaného poskytovania služieb dôvery

Čo je PSCo podľa eIDAS?

Nariadenie eIDAS č. 910/2014 rozlišuje dve kategórie poskytovateľov: nekvalifikovaných poskytovateľov služieb dôvery a kvalifikovaných poskytovateľov (PSCQ). Prví môžu ponúkať služby jednoduchého alebo pokročilého elektronického podpisu bez povinného auditu tretej strany. Druhí — jediní oprávnení vydávať kvalifikované podpisy podľa článku 3(15) eIDAS — musia spĺňať podstatne prísnejšie požiadavky.

Vo Francúzsku je to Národná agentúra pre bezpečnosť informačných systémov (ANSSI), ktorá plní úlohu dohľadného úradu („Supervisory Body") stanoveného článkom 17 eIDAS. Zverejňuje a spravuje francúzsky zoznam dôvery (TSL — Trust Service List), dostupný na jej oficiálnej webovej stránke, ktorý obsahuje zoznam kvalifikovaných poskytovateľov a ich služieb.

Postup kvalifikácie: audit a zhoda

Aby PSCo dosiahol kvalifikovaný status, musí povinne:

• Nechať si auditovať svoje služby organizmom na posúdenie zhody (CAB — Conformity Assessment Body) akreditovaným COFRAC podľa normy EN ISO/IEC 17065.

• Predložiť audit ANSSI, ktorá rozhodne o udelení kvalifikovaného statusu. Tento status sa prehodnocuje aspoň každých 24 mesiacov (článok 20 §1 eIDAS).

• Oznámiť ANSSI o každej podstatnej zmene v jej službách v lehote 3 mesiacov pred plánovanou zmenou (článok 21 eIDAS).

Nesplnenie týchto krokov vystavuje poskytovania vylúčeniu z TSL a strate zákonných predpokladov v súvislosti s kvalifikovaným podpisom. Pre klientske spoločnosti sa obrátenie sa na PSCo, ktorý nie je uvedený na TSL, rovná tomu, že nie sú v prospech žiadneho zákonného predpokladu spoľahlivosti.

> Ak chcete vedieť viac o rôznych úrovniach podpisu a ich právnych účinkoch, pozrite si naš komplexný sprievodca nariadením eIDAS 2.0.

---

Technické a bezpečnostné povinnosti uložené PSCo

Dodržiavanie noriem ETSI

Kvalifikovaní poskytovatelia musia dodržiavať súbor európskych noriem vydaných Európskym inštitútom telekomunikačných noriem (ETSI). Najdôležitejšie sú:

• ETSI EN 319 401: všeobecné bezpečnostné požiadavky vzťahujúce sa na všetky PSCo.

• ETSI EN 319 411-1 a 411-2: politiky a postupy certifikačných autorít vydávajúcich certifikáty kvalifikovaného podpisu.

• ETSI EN 319 132: formáty pokročilého elektronického podpisu (XAdES pre XML, PAdES pre PDF, CAdES pre CMS).

• ETSI EN 319 122: formát CAdES pre kvalifikované podpisy.

• ETSI TS 119 431: požiadavky na služby tvorby podpisu na diaľku (vzdialený QSCD).

Tieto normy nie sú voliteľné: nariadenie eIDAS (Príloha II, III a IV) sa na ne explicitne odkazuje na definovanie minimálnych požiadaviek na kvalifikované certifikáty a zariadenia na tvorbu podpisu.

Správa kvalifikovaných zariadení na tvorbu podpisu (QSCD)

Jedným z pilierov kvalifikovaného podpisu je použitie kvalifikovaného zariadenia na tvorbu podpisu (QSCD — Qualified Signature Creation Device) vyhovujúceho Prílohe II eIDAS. Poskytovateľ musí zabezpečiť, aby:

• Súkromný kľúč podepisujúceho nemohol byť generovaný, skladovaný alebo kopírovaný mimo QSCD.

• Generovanie kľúča prebiehalo výlučne v certificiranom prostredí (Common Criteria certifikácia EAL 4+ alebo ekvivalent).

• Overenie totožnosti podepisujúceho pred akýmkoľvek aktom podpisu sa zakladalo na aspoň dvoch faktoroch autentifikácie.

V kontexte podpisu na diaľku — čo je čoraz častejšie v prostredí SaaS — sa tieto požiadavky vzťahujú na server HSM (Hardware Security Module) hostujúci kľúče. ANSSI zverejnila špecifické profily ochrany (PP-0075, PP-0076) definujúce kritériá bezpečnosti, ktoré sa majú dosiahnuť.

Politika kontinuity a notifikácia incidentov

Článok 19 eIDAS ukladá všetkým poskytovateľom služieb dôvery (kvalifikovaným alebo nie) povinnosť:

• Oznámiť dohľadnému úradu (ANSSI) a prípadne úradu na ochranu údajov (CNIL) do 24 hodín od zistenia porušenia bezpečnosti, ktoré by mohlo ovplyvniť spoľahlivosť služby.

• Udržiavať dokumentovaný a pravidelne testovaný plán kontinuity pôsobenia.

• Mať formalizovanú politiku bezpečnosti informácií, pokrývajúcu najmä správu rizík, správu incidentov a politiku zálohovania.

Tieto požiadavky sa čiastočne prekrývajú s požiadavkami smernice NIS2 (2022/2555/UE), transponovanej do francúzskeho práva zákonom č. 2023-703 z 1. augusta 2023, ktorá klasifikuje PSCo významnej veľkosti medzi dôležité alebo základné subjekty podliehajúce posilneným povinnostiam v oblasti kybernetickej bezpečnosti.

> Zistite, ako elektronický podpis pre právne kancelárie musí integrovať tieto obmedzenia do svojich workflow dokumentov.

---

Špecifické povinnosti GDPR pre PSCo

Je PSCo zodpovedný za spracovanie alebo spracovateľ?

Klasifikácia GDPR poskytovania závisí od povahy poskytovanej služby:

• Ak PSCo priamo vydáva kvalifikované certifikáty v mene podepisujúceho a určuje účely spracovávania osobných údajov (identita, biometrické údaje na overenie totožnosti), pôsobí ako zodpovedný za spracovanie podľa článku 4(7) GDPR.

• Ak integruje svoje API do platformy klienta B2B a spracováva osobné údaje iba podľa pokynov tohto klienta, má postavenie spracovateľa (článok 4(8) GDPR) a musí povinne uzavrieť DPA (Data Processing Agreement) vyhovujúci článku 28 GDPR.

V praxi väčšina SaaS PSCo kombinuje obe postavenia: zodpovedný za správu svojej vlastnej infraštruktúry certifikácie, spracovateľ pre spracovanie dokumentov a metaúdajov podepisujúcich.

Špecifické povinnosti súvisiace s biometrickými údajmi a údajmi o totožnosti

Identifikácia a overenie totožnosti podepisujúceho — povinný krok na vydanie kvalifikovaného certifikátu — často zahŕňa spracovanie citlivých údajov: skeny občianskeho preukazu, video selfie, biometrické údaje rozpoznávania tváre. Tieto údaje predstavujú osobné údaje podliehajúce GDPR, prípadne biometrické údaje podliehajúce článku 9 GDPR (osobitné kategórie).

Povinnosti PSCo zahŕňajú:

• Právny základ: výslovný súhlas (článok 9§2a) alebo v niektorých prípadoch právna povinnosť (článok 9§2b) na spracovanie biometrických údajov.

• Obdobie uchovania obmedené: podľa pokynov CNIL by sa údaje o identifikácii mali uchovávať iba čas, pokiaľ je to potrebné, zvyčajne v súlade s dobou platnosti certifikátu + zákonnou dobou dôkazu (často 10 rokov pre súkromné akty, článok 2224 francúzskeho občianskeho kódexu).

• Posúdenie vplyvu (AIPD) povinné (článok 35 GDPR) v prípade, že spracovanie môže predstavovať vysoké riziko — čo je systematicky prípad biometrie.

• Register spracovateľov (článok 30 GDPR) aktualizovaný a dokumentujúci každú kategóriu spracovávania.

Medzinárodné prenosy údajov

Mnohí PSCo umiestnili časti alebo celú svoju infraštruktúru mimo Európskeho hospodárskeho priestoru (EHP). V tomto prípade sa vzťahujú vhodné záruky požadované kapitolou V GDPR: rozhodnutie o dostatočnosti, štandardné zmluvné doložky (SCCs) Komisie alebo záväzné pravidlá korporácie (BCR). Rozhodnutie Schrems II (CJEU, C-311/18, 16. júla 2020) pripomenulo, že prenosy do Spojených štátov vyžadujú predchádzajúcu analýzu rizika krajiny.

> Ak chcete pochopiť vplyv týchto pravidiel na vašu organizáciu, pozrite si nášho sprievodcu elektronickým podpisom v podniku.

---

Povinnosti transparentnosti a informovania používateľov

Politika certifikácie (PC) a vyhlásenie o postupoch certifikácie (DPC)

Všetci PSCo vydávajúci certifikáty sú povinní zverejniť Politiku Certifikácie (PC) a Vyhlásenie o Postupoch Certifikácie (DPC), v súlade s normou ETSI EN 319 411. Tieto verejne dostupné dokumenty podrobne opisujú:

• Postupy identifikácie a registrácie podepisujúcich.

• Fyzické a logické bezpečnostné opatrenia nasadené.

• Podmienky zrušenia certifikátov a súvisiace lehoty.

• Zodpovednosti a obmedzenia záruky PSCo.

Neprítomnosť alebo neúplnosť týchto dokumentov predstavuje chybu v zhode, ktorá môže byť zistená počas auditu prequalifikácie akreditovanou organizáciou.

Prekontrakt a zmluvné informácie klientom

Nad rámec čisto technických povinností, článok 13 GDPR ukladá PSCo povinnosť poskytnúť každej osobe, ktorej údaje sú zbierané, jasné a dostupné informácie o:

• Totožnosti zodpovedného za spracovanie a kontaktných údajoch Dôvercu údajov (povinný pre PSCo, ktorí v большом meradle spracovávajú citlivé údaje, článok 37 GDPR).

• Účeloch a právnych základoch každého spracovávania.

• Právach osôb (prístup, oprava, vymazanie, prenosnosť, námietka).

• Prípadných príjemcoch údajov (spracovateľoch, úradoch).

Tieto informácie musia byť zahrnuté v politike ochrany súkromia služby, v obecných podmienkach a v DPA uzavretej s profesionálnymi klientmi.

Kvalifikovaná časová pečiatka a revízna stopa

Aby sa zabezpečila dlhodobá právna hodnota podpisov, vážne PSCo systematicky spájajú kvalifikovanú elektronickú časovú pečiatku (článok 42 eIDAS) s každým podpísaným aktom. Táto časová pečiatka predstavuje právne presúmovaný dôkaz existencie údajov k uvedenému dátumu. Úschova revíznej stopy (protokoly identifikácie, odtlačok dokumentu, údaje podpisu) je faktickou povinnosťou umožňujúcou akékoľvek budúce súdne overenie.

> Porovnajte riešenia na trhu podľa týchto kritérií v našom porovnaní riešení elektronickej podpisu.

---

eIDAS 2.0: nové povinnosti v horizonte 2026-2027

Nariadenie eIDAS 2.0 (UE) 2024/1183

Zverejnené v Úradnom vestníku EÚ 30. apríla 2024, nariadenie (UE) 2024/1183 nazývané „eIDAS 2.0" výrazne posilňuje povinnosti PSCo v troch oblastiach:

• Európska peňaženka digitálnej identity (EUDI Wallet): členské štáty musia sprístupniť certifikovanú digitálnu peňaženku do 2. novembra 2026. PSCo budú musieť integrovať svoju službu s touto peňaženkou, aby ponúkli kvalifikované podpisy prostredníctvom identity eIDAS 2.0.

• Správa osvedčení o atribútoch: eIDAS 2.0 zavádza kvalifikované osvedčenia o atribútoch (QEAAs), vydávané kvalifikovanými poskytovateľmi osvedčení. Budú sa vzťahovať nové auditné a kvalifikačné postupy.

• Posilnenie dohľadu: národné dohľadné úrady (ANSSI pre Francúzsko) majú rozšírené právomoci, najmä možnosť vykonávať nenáhlené audity a nanútiť záväzné nápravné opatrenia v skrátených lehách.

Praktické dôsledky pre súčasných poskytovateľov

PSCo už kvalifikovaní podľa eIDAS 1.0 budú musieť vykonať postupné prispôsobenie sa pred stanovenými lehami aktov, ktoré vydala Komisia (zverejnené alebo v príprave). Hlavné zmeny sa týkajú:

• Reformy infraštruktúry identifikácie na podporu EUDI Wallet ako prostriedku autentifikácie.

• Aktualizácie PC/DPC na integráciu nových typológií certifikátov a osvedčení.

• Posilnenia bezpečnostných požiadaviek vzdialených QSCD s novými profílmi ochrany.

Pre klientske spoločnosti to znamená skontrolovať v súčasnosti, či ich poskytovateľ má zdokumentovanú a overiteľnú roadmapu zhody eIDAS 2.0.

Právny rámec vzťahujúci sa na povinnosti poskytovateľov elektronickej podpisu

Normatívny reťazec vzťahujúci sa na poskytovateľov elektronickej podpisu pôsobiacich vo Francúzsku sa člení na niekoľko vzájomne sa doplňujúcich hierarchických úrovní.

Francúzsky občiansky zákonník — Články 1366 a 1367

Článok 1366 občianskeho zákonníka uznáva elektronický písomný dokument ako ekvivalentný spôsob dôkazu písomného, pod podmienkou, že „možno riadne identifikovať osobu, od ktorej pochádza, a je ustanovený a uchovávaný tak, aby sa zaručila jeho integritu". Článok 1367 presne vymedzuje, že elektronický podpis „spočíva v použití spoľahlivého procesu identifikácie garantujúceho jeho spojitosť s aktom, ktorému sa vzťahuje". Predpoklad spoľahlivosti prospievajú kvalifikovaným podpisom podľa eIDAS, čím sa zvratia dôkazné bremeno v prospech podepisujúceho.

Nariadenie eIDAS č. 910/2014/UE

Toto nariadenie, ktoré sa aplikuje priamo vo všetkých členských štátoch, vytvára právny rámec pre služby dôvery. Jeho článok 26 definuje podmienky pokročilého elektronického podpisu; článok 28 požiadavky na kvalifikované certifikáty; jeho Príloha I podrobne opisuje povinný obsah týchto certifikátov. Kvalifikovaní PSCo majú prospech z predpokladu zhody s technickými a právnymi požiadavkami nariadenia (článok 19§2), čo predstavuje významný benefit v prípade sporu.

Nariadenie eIDAS 2.0 — (UE) 2024/1183

Zverejnené 30. apríla 2024, toto zameniteľné nariadenie zavádza nové kategórie služieb dôvery (kvalifikované osvedčenia o atribútoch, kvalifikované archivačné služby) a posilňuje dohľadné povinnosti. Ruší a čiastočne nahradzuje nariadenie 910/2014, s postupnou aplikovateľnosťou podľa aktov vykonávania Komisie.

GDPR — Nariadenie (UE) 2016/679

GDPR sa vzťahuje na všetko spracovanie osobných údajov vykonané v rámci služby elektronickej podpisu. Články 5 (princípy zákonnosti), 6 (právny základ), 9 (citlivé údaje), 13-14 (informácie), 28 (spracovateľstvo), 32 (bezpečnosť), 33-34 (oznámenie porušenia), 35 (AIPD) a 37 (Dôvercu údajov) tvoria najčastejšie použiteľné ustanovenia. CNIL je príslušným kontrolným úradom vo Francúzsku a môže uložiť pokuty až do 20 miliónov eur alebo 4 % svetového ročného obratu (článok 83§5 GDPR).

Smernica NIS2 — (UE) 2022/2555

Transponovaná do francúzskeho práva zákonom č. 2023-703 z 1. augusta 2023, NIS2 klasifikuje významných PSCo medzi dôležité alebo základné subjekty podliehajúce povinnostiam správy kybernetických rizík a oznámovania incidentov ANSSI do 24 hodín (skoré upozornenie) a potom 72 hodín (úplné oznámenie).

Normy ETSI

Súbor noriem EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 a TS 119 431 predstavuje povinný technický referenčný rámec pre audit kvalifikácie. Ich nedodržiavanie vedie k nemožnosti dosiahnuť alebo udržať kvalifikovaný status.

Právne riziká v prípade nesúladu

Nekonformný poskytovateľ sa vystavuje: vylúčeniu z francúzskeho zoznamu TSL, angažovaniu zmluvnej a mimozmluvnej zodpovednosti, administratívnym sankciám CNIL, pokutám NIS2 dosahujúcim 10 miliónov eur alebo 2 % svetového obratu pre dôležité subjekty a 20 miliónov alebo 4 % svetového obratu pre základné subjekty, ako aj súdnym žalobám klientov, ktorí utrpeli stratu v dôsledku neplatných podpisov.

Scenáre používania: ako podniky overujú zhodu svojho PSCo

Scenár 1 — Priemyselná skupina spravujúca 3 000 zmlúv so dodávateľmi ročne

Priemyselná skupina strednej veľkosti (ETI), aktívna v oblasti výroby mechanických zariadení, demateriálizuje všetky svoje zmluvy so dodávateľmi prostredníctvom cloudu na báze SaaS pre elektronický podpis. Počas interného auditu spusteného po zmene regulácie, právny tím zistí, že vybraný poskytovateľ — spočiatku vybraný na základe ceny — nie je zaradený ani na francúzskom TSL, ani na žiadnom inom európskom TSL. Vydané podpisy sú typu „jednoduchý" bez robustného mechanizmu identifikácie podepisujúceho.

Vzhľadom na právne riziko — všetky podpísané zmluvy by mohla spochybniť ich právna hodnota v prípade sporu — spoločnosť migráciou na kvalifikovaného PSCo ANSSI. Nové riešenie integruje pokročilý podpis s kvalifikovaným certifikátom, kvalifikovaný čas a exportovateľnú revíznu stopu. Migračný projekt, realizovaný za menej ako 8 týždňov, umožňuje bezpečnejšie nové akty a zavedenie vyhovujúcej politiky dokumentovania. Právne tímy odhadujú, že riziko sporu spojené so starými zmluvami zostáva marginálne vzhľadom na ich implementáciu bez námietek, ale každý nový podpis je teraz krytý.

Zistené výhody: zníženie o 60 % potenciálnych sporov súvisiacich s autentičnosťou podpisov a zisk 3,5 dní priemerného času na podpis pri zložitých zmluvách vďaka automatizácii pracovného toku overovania.

Scenár 2 — Právna kancelária so 40 právnikmi špecializovaná na obchodné právo

Právna kancelária chcúca digitalizovať podpis mandátov, konzultácií a procesných aktov vyhodnocuje niekoľko poskytovateľov. Jej analýzny rámec obsahuje nasledujúce kritériá: prítomnosť na TSL, publikácia dostupného PC/DPC, existencia DPA vyhovujúceho GDPR, dostupnosť kontaktného Dôvercu údajov a certifikácia vzdialených QSCD.

Z piatich hodnotených poskytovateľov iba dvaja spĺňajú všetky kritériá. Kancelária nakoniec zvolí PSCo ponúkajúci nástrojom kvalifikovaný podpis prostredníctvom vzdialeneho QSCD, zaručujúc predpoklad spoľahlivosti z článku 1367 francúzskeho občianskeho zákonníka. Nasadenie trvá 3 týždne, školenie zahrnuté. Výsledok: 75 % mandátov je teraz podpísaných za menej ako 24 hodín v porovnaní s 5 až 7 dňami predtým (poštová zásielka), a kancelária môže svojím klientom zdôvodniť úroveň právnej bezpečnosti poskytovanej riešením — diferenciačný argument v jej obchodných ponukách.

Scenár 3 — Skupinu nemocníc s približne 1 200 lôžkami

Skupinu nemocníc chcúca demateriálizovať zmluvy o zamestnaní, dohody o stážach a partnerské zmluvy s partnerským zariadením pre zdravotnícku starostlivosť. Citlivosť spracovávaných údajov (údaje o zdraví zdravotníckych pracovníkov, personálne údaje) vyžaduje zvlášť dôkladnú kontrolu nad GDPR povinnosťami PSCo.

IT oddielenie a Dôvercu údajov organizácie vyžaduje: umiestnenie údajov vo Francúzsku u poskytovateľa úschovy údajov o zdraví certifikovaného HDS (Hébergeur de Données de Santé, certifikácia stanovenej v článku L.1111-8 Zákoníka verejného zdravia), žiadne prenosy mimo EHP, zdokumentované AIPD pre spracovanie identifikácie podepisujúcich a DPA podpísané pred čímkoľvek do produkcie.

Po výbere PSCo spĺňajúceho tieto kritériá sa nasadenie v prvom rade vzťahuje na zmluvy HR (približne 800 aktov ročne). Priemerný čas podpisu pracovných zmlúv na určitú dobu sa skracuje z 9 dní na menej ako 48 hodín, čím sa uvoľňuje významná kapacita pre tímy ľudských zdrojov. Organizácia disponuje takisto úplnou traceability všetkých zberaných súhlasov, audítovaných ročne jej Dôvercom údajov.

Záver

Právne povinnosti ležiace na poskytovateľoch elektronickej podpisu vo Francúzsku tvoria náročný právny súbor: kvalifikácia eIDAS, zhoda s GDPR, dodržiavanie noriem ETSI, povinnosti NIS2 a blížiace sa prispôsobenie sa eIDAS 2.0. Pre klientske spoločnosti, aby sa ubezpečili o zhode svojho PSCo, nie je fakultatívnou činnosťou — je to nevyhnutná podmienka právnej hodnoty podpísaných aktov a ochrany osobných údajov podepisujúcich.

Certyneo je poskytovateľom elektronickej podpisu navrhnutým na splnenie všetkých týchto požiadaviek: zhoda s eIDAS, GDPR by design, suverénne umiestnenie a zdokumentovaná roadmapa eIDAS 2.0. Ste pripravení zabezpečiť svoje podpisy v úplnej zhode? Požiadajte o demonštráciu alebo vytvorte svoj účet na Certyneo a profitujte z osobného sprievodstva od prvého dňa.