Obaveze pružaoca usluge elektronskog potpisivanja u Francuskoj

Uvod

Primena rešenja za elektronski potpis u Francuskoj nije stvar improvizacije. Iza svakog kvalifikovanog ili naprednog potpisa kriju se deseci pravnih obaveza koje padaju na teret pružaoca usluge od poverenja (PSCo). Uredba eIDAS, RGPD, opšti referentni okvir bezbednosti, standardi ETSI... regulatorni okvir je istovremeno gustan i u stalnoj evoluciji. Za preduzeća koja koriste ove usluge, razumevanje ovih pravnih obaveza pružaoca elektronskog potpisivanja u Francuskoj eIDAS RGPD je neophodno da bi se odabrao odgovarajući partner i izbegao bilo kakav pravni rizik. Ovaj članak detaljno objasnjavа, sekciju po sekciju, sve zahteve primenjive na PSCo koji deluju na području Francuske.

---

Status pružaoca kvalifikovane usluge od poverenja

Šta je PSCo prema eIDAS?

Uredba eIDAS br. 910/2014 razlikuje dve kategorije pružaoca: pružaoca usluge od poverenja bez kvalifikacije i kvalifikovane pružaoce (PSCQ). Prvi mogu nuditi usluge jednostavnog ili naprednog elektronskog potpisa bez obaveznog audita od strane treće strane. Drugi — samo oni ovlašćeni da izdaju kvalifikovane potpise prema članu 3(15) eIDAS — moraju zadovoljiti znatno strože zahteve.

U Francuskoj, Agencija za nacionalnu bezbednost informacionih sistema (ANSSI) obavlja funkciju organa nadzora („Supervisory Body") predviđene članom 17 eIDAS. Ona objavljuje i održava francusku listu od poverenja (TSL — Trust Service List), dostupnu na svojoj zvaničnoj veb-stranici, koja popisuje kvalifikovane pružaoce i njihove usluge.

Postupak kvalifikacije: audit i usklađenost

Da bi stekao status kvalifikovanog, PSCo mora obavezno:

• Proveri da li su njegove usluge auditovane od strane nadležnog tela za procenu usklađenosti (CAB — Conformity Assessment Body) akreditovanog od strane COFRAC prema normi EN ISO/IEC 17065.

• Predati izveštaj o auditu ANSSI, koja odlučuje o dodeljenski kvalifikovanom statusu. Ovaj status se poново ocenjuje najmanje svakih 24 meseca (član 20 §1 eIDAS).

• Obavesti ANSSI o bilo kom bitnom promeni u svojim uslugama u roku od 3 meseca pre planiranog uvođenja izmene (član 21 eIDAS).

Nepoštovanje ovih koraka izlaže pružaoca brisanju sa TSL i gubitku pravnih pretpostavki vezanih za kvalifikovani potpis. Za klijente - preduzeća, korišćenje PSCo koji nije na TSL listi znači da nema nikakve pravne pretpostavke pouzdanosti.

> Da saznate više o različitim nivoima potpisa i njihovim pravnim efektima, pogledajte naš vodič.

---

Tehnički zahtevi i obaveze bezbednosti namenjene PSCo

Poštovanje standarda ETSI

Kvalifikovani pružaoci moraju se usklađivati sa nizom evropskih standarda koje je objavio Evropski institut za telekomunikacijske standarde (ETSI). Glavne su:

• ETSI EN 319 401: opšti zahtevi za bezbednost primenjivi na sve PSCo.

• ETSI EN 319 411-1 i 411-2: politike i praksa organa za sertifikaciju koji izdaju sertifikate za kvalifikovani potpis.

• ETSI EN 319 132: formati naprednog elektronskog potpisa (XAdES za XML, PAdES za PDF, CAdES za CMS).

• ETSI EN 319 122: format CAdES za kvalifikovane potpise.

• ETSI TS 119 431: zahtevi za usluge kreiranja potpisa na daljinu (QSCD na daljinu).

Ovi standardi nisu opcioni: uredba eIDAS (Prilog II, III i IV) se na njih eksplicitno poziva da bi se definisali minimalni zahtevi za kvalifikovane sertifikate i uređaje za kreiranje potpisa.

Upravljanje kvalifikovanim uređajima za kreiranje potpisa (QSCD)

Jedan od stubova kvalifikovanog potpisa je korišćenje kvalifikovanog uređaja za kreiranje potpisa (QSCD — Qualified Signature Creation Device) u skladu sa Prilogom II eIDAS. Pružalac mora da garantuje da:

• Privatni ključ potpisnika ne može biti generisan, skladišten ili kopiran van QSCD uređaja.

• Generisanje ključa se vrši isključivo u sertifikovanom okruženju (sertifikacija Common Criteria EAL 4+ ili ekvivalentno).

• Autentifikacija potpisnika pre bilo kog čina potpisivanja počiva na najmanje dva faktora autentifikacije.

U kontekstu potpisivanja na daljinu — što je sve vrapođaje rasprostranjeno u SaaS okruženjima — ovi zahtevi se primenjuju na HSM server (Hardware Security Module) koji drži ključeve. ANSSI je objavila specifične zaštitne profile (PP-0075, PP-0076) koji definiše kriterijume bezbednosti koje treba dosegnuti.

Politika kontinuiteta i obaveštavanje o incidentima

Član 19 eIDAS nameće svakom pružaocu usluge od poverenja (kvalifikovanom ili ne) da:

• Obavesti organ nadzora (ANSSI) i, po potrebi, organ za zaštitu podataka (CNIL) u roku od 24 sata nakon otkrivanja kršenja bezbednosti koje može uticati na pouzdanost usluge.

• Ima plan kontinuiteta poslovanja koji je dokumentovan i redovno testiran.

• Poseduje formalno utvrđenu politiku bezbednosti informacija, koja posebno pokriva upravljanje rizicima, upravljanje incidentima i politiku bekapa.

Ovi zahtevi se delimično preklapaju sa zahtevima direktive NIS2 (2022/2555/UE), transponovane u francusko pravo kroz zakon br. 2023-703 od 1. avgusta 2023, koji PSCo značajne veličine svrstava među važne ili neophodne subjekte podložne ojačanim obavezama kibernetske bezbednosti.

> Saznajte kako dokumentski workflow moraju biti integrisani u ove ograničenja.

---

RGPD specifične obaveze primenjive na PSCo

PSCo, odgovoran za obradu ili poverenik?

RGPD kvalifikacija pružaoca zavisi od prirode usluge koju pruža:

• Kada PSCo direktno izdaje sertifikate od strane potpisnika u ime potpisnika i određuje ciljeve obrade ličnih podataka (identitet, biometrijski podaci autentifikacije), deluje kao odgovoran za obradu prema članu 4(7) RGPD.

• Kada integruje svoj API u platformu B2B klijenta i obrađuje lične podatke samo prema uputstvima tog klijenta, ima poziciju poveremika (član 4(8) RGPD) i obavezno mora zaključiti DPA (Data Processing Agreement) u skladu sa članom 28 RGPD.

U praksi, većina SaaS PSCo kumulira obe funkcije: odgovoran za upravljanje sopstvenom infrastrukturom sertifikacije, poveremik za obradu dokumenata i metapodataka potpisnika.

Specifične obaveze vezane uz biometrijske podatke i podatke o identitetu

Identifikacija i autentifikacija potpisnika — obavezna faza za izdavanje kvalifikovanog sertifikata — često uključuje obradu osetljivih podataka: sken ličnog dokumenta, video selfie, biometrijski podaci prepoznavanja lica. Ovi podaci predstavljaju lične podatke predmeta RGPD, pa čak i biometrijske podatke obuhvaćene članom 9 RGPD (posebne kategorije).

Obaveze PSCo obuhvataju:

• Pravna osnova: eksplicitna saglasnost (član 9§2a) ili, u određenim slučajevima, pravna obaveza (član 9§2b) za obradu biometrijskih podataka.

• Ograničena trajnost čuvanja: prema smernicama CNIL, podaci o identifikaciji moraju se čuvati samo dok je to neophodno, obično usklađeno sa trajanjem važenja sertifikata + zakonski rok čuvanja dokaznog materijala (često 10 godina za privatne akte, član 2224 francuskog građanskog zakonika).

• Obavezna analiza uticaja (AIPD) (član 35 RGPD) čim je obrada mogla izazvati visok rizik — što je sistematski slučaj za biometriju.

• Registar obrada (član 30 RGPD) koji se redovno ažurira i dokumentuje svaku kategoriju obrade.

Međunarodni transferi podataka

Mnogi PSCo smeštaju sve ili deo svoje infrastrukture van Evropskog ekonomskog prostora (EEP). U ovom slučaju, odgovarajuće zaštite zahtevane poglavljem V RGPD se nameću: odluka o adekvatnosti, ugovorne klauzule modela (SCCs) Evropske komisije ili obavezujuća pravila preduzeća (BCR). Presuda Schrems II (Sudska škola EU, C-311/18, 16. jul 2020) je podsjetila da transferi ka Sjedinjenim Državama zahtevaju prethodnu analizu rizika po zemlji.

> Da razumete uticaj ovih pravila na vašu organizaciju, pogledajte naš vodič.

---

Obaveze transparentnosti i informisanja korisnika

Politika sertifikacije (PC) i izjava o praksi sertifikacije (DPC)

Svaki PSCo koji izdaje sertifikate mora objaviti Politiku sertifikacije (PC) i Izjavu o praksi sertifikacije (DPC), u skladu sa standardom ETSI EN 319 411. Ovi dokumenti, slobodno dostupni, detaljno razlagaju:

• Procedure za identifikaciju i registraciju potpisnika.

• Fizičke i logičke bezbednosne mere koje se primenjuju.

• Uslove za opoziv sertifikata i povezane rokove.

• Odgovornosti i ograničenja garancije PSCo.

Odsustvo ili nepotpunost ovih dokumenata čini neusklađenost koju mogu identifikovati tokom audita za ponovu kvalifikaciju od strane akreditovanog tela.

Predpogodbeno i ugovorno informisanje klijenata

Izvan čisto tehnijskih obaveza, član 13 RGPD nameće PSCo da pruži svakom licu čiji se podaci prikupljaju jasne i pristupačne informacije o:

• Identitetu odgovornog za obradu i kontakt podatke Rukovaoca zaštite podataka (obavezno za PSCo koji obrađuju u velikoj meri osjetljive podatke, član 37 RGPD).

• Ciljevima i pravnim osnovama svake obrade.

• Pravima osoba (pristup, ispravka, brisanje, prenosivost, prigovor).

• Mogućim primaocem podataka (povremenik, vlasti).

Ove informacije moraju se naći u politici privatnosti usluge, u OdO (Opšte odredbe o korišćenju) i, po potrebi, u DPA zaključenom sa poslovnim klijentima.

Kvalifikovano vremensko označavanje i revizijska staza

Da bi se garantovala vrednost dokaznog materijala na dugi rok potpisa, ozbiljni PSCo sistematski pridružuju kvalifikovano vremensko označavanje (član 42 eIDAS) svakom potpisanom činu. Ova vremenska oznaka predstavlja pravno pretpostavljeni dokaz o postojanju podataka na navedenom datumu. Čuvanje revizijske staze (beleške o identifikaciji, otisak dokumenta, podaci potpisa) je praktična obaveza koja omogućava bilo koju kasnije sudsku verifikaciju.

> Poredite rešenja na tržištu prema ovim kriterijumima na našem sajtu.

---

eIDAS 2.0: nove obaveze na vidiku 2026-2027

Uredba eIDAS 2.0 (EU) 2024/1183

Objavljena u Službenom listu EU 30. aprila 2024, uredba (EU) 2024/1183 poznata kao „eIDAS 2.0" značajno pojačava obaveze PSCo oko tri ose:

• Evropski novčanik za digitalnu identifikaciju (EUDI Wallet): države članice moraju staviti na raspolaganje sertifikovani novčanik digitalne identifikacije do 2. novembra 2026. PSCo će morati integrisati svoju uslugu sa ovim novčanikom da bi pružili kvalifikovane potpise preko eIDAS 2.0 identiteta.

• Upravljanje atestima atributa: eIDAS 2.0 uvodi kvalifikovane ateste atributa (QEAAs), izdane od strane kvalifikovanih pružaoca atestacije. Nove procedure audita i kvalifikacije će se primenjivati.

• Pojačanje nadzora: nacionalne vlasti za nadzor (ANSSI za Francusku) proširuju svoje ovlašćenja, posebno mogućnost da sprovoede naplanirane audite i izreknu obavezujuće korekcione mere u skraćenim rokovima.

Praktične implikacije za trenutne pružaoce

PSCo već kvalifikovani pod eIDAS 1.0 moraće postepeno da se uskladi pre nego što isteknu vremenske granice postavljene izvršnim aktima Komisije (objavljeni ili u procesu objave). Glavne adaptacije se tiču:

• Preračuna infrastrukture identifikacije da podržavaju EUDI Wallet kao sredstvo autentifikacije.

• Ažuriranja PC/DPC kako bi se integrisale nove tipologije sertifikata i atestacija.

• Pojačanja zahteva bezbednosti za QSCD na daljinu, sa novim zaštitnim profilima koji dolaze.

Za klijente - preduzeća, to znači da treba da provere već sada da li njihov pružalac ima dokumentovan i verifiabilan plan za usklađenost sa eIDAS 2.0.

Pravni okvir primenjiv na obaveze pružaoca elektronskog potpisa

Lanac normi koji se primenjuje na pružaoce elektronskog potpisa koji deluju u Francuskoj artikulisan je na nekoliko komplementarnih hijerarhijskih nivoa.

Francuski građanski zakonik — Članci 1366 i 1367

Član 1366 Francuskog građanskog zakonika prihvata elektronski dokument kao način dokaza ekvivalentan papirnom dokumentu, pod uslovom da „može biti pravilno identifikovan lice čije proizlazi i da se uspostavi i čuva u uslovima koje garantuju njegov integritet". Član 1367 pojašnjava da elektronski potpis „sastoji od korišćenja pouzdane procedure identifikacije koja garantuje njegovu vezu sa aktom kojem se dodeljuje". Pretpostavka pouzdanosti blagodeti kvalifikovanim potpisima u smislu eIDAS, obrnuto prebacujući dokazni teret u korist potpisnika.

Uredba eIDAS br. 910/2014/EU

Ova uredba, direktno primenjiva u svim državama članicama, uspostavlja pravni okvir za usluge od poverenja. Njen član 26 definiše uslove za napredni elektronski potpis; član 28 zahteve za kvalifikovane sertifikate; njegov Prilog I detaljno pokriva obavezni sadržaj ovih sertifikata. Kvalifikovani PSCo uživaju pretpostavku usklađenosti sa tehničkim i pravnim zahtevima uredbe (član 19§2), što predstavlja prednost u slučaju spora.

Uredba eIDAS 2.0 — (EU) 2024/1183

Objavljena 30. aprila 2024, ova promenljiva uredba uvodi nove kategorije usluga od poverenja (kvalifikovane ateste atributa, kvalifikovane usluge arhiviranja) i pojačava obaveze nadzora. Ona ukida i delimično zamenjuje uredbu 910/2014, sa postepenom primenom prema izvršnim aktima Evropske komisije.

RGPD — Uredba (EU) 2016/679

RGPD se primenjuje na sve obrade ličnih podataka obavljene u okviru usluge elektronskog potpisa. Članci 5 (principi zakonitosti), 6 (pravna osnova), 9 (osjetljivi podaci), 13-14 (informisanje), 28 (povereni rad), 32 (bezbednost), 33-34 (obaveštavanje o kršenju), 35 (AIPD) i 37 (Rukovaocu zaštite podataka) čine najčešće primenjive odredbe. CNIL je nadležni organ za nadzor u Francuskoj i može izreći kazne do 20 miliona evra ili 4% godišnjeg svjetskog prometa (član 83§5 RGPD).

Direktiva NIS2 — (EU) 2022/2555

Transponovana u francusko pravo kroz zakon br. 2023-703 od 1. avgusta 2023, NIS2 svrstava značajne PSCo među važne ili neophodne subjekte podložne obavezama upravljanja kibernetskim rizicima i obaveštavanja o incidentima ANSSI u roku od 24 sata (rana upozorenja) pa zatim 72 sata (potpuno obaveštenje).

Standardi ETSI

Skup standarda EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 i TS 119 431 predstavlja obaveznu tehničku referencu za audit kvalifikacije. Nepoštovanje je dovodi do nemogućnosti da se dobije ili održi kvalifikovani status.

Pravni rizici u slučaju neusklađenosti

Neusklađeni pružalac se izlaže: brisanju sa francouzske TSL liste, angažovanju svoje ugovorne i vangovorne odgovornosti, CNIL administrativnim kaznama, NIS2 kaznama koje mogu dosegnuti 10 miliona evra ili 2% svetskog CA za važne subjekte i 20 miliona ili 4% CA za neophodne subjekte, kao i sudskim tužbama klijenata koji su pretrpeli štetu zbog nevažećih potpisa.

Scenariji korišćenja: kako preduzeća proveravaju usklađenost svog PSCo

Scenario 1 — Industrijska grupa koja upravlja 3.000 ugovora sa dobavljačima godišnje

Industrijska grupa srednje veličine (ETI), aktivna u proizvodnji mehaničke opreme, demorijalizuje sve svoje ugovore sa dobavljačima preko SaaS platforme za elektronski potpis. Tijekom audita koji je iniciran nakon regulatorne izmene, pravna direkcija otkriva da izabrani pružalac — prvobitno odabran po ceni — nije referenciiran ni na francuskoj TSL, ni na bilo kojoj drugoj evropskoj TSL. Izdati potpisi su tipa „jednostavni" bez robustanog mehanizma identifikacije potpisnika.

Suočeni sa pravnim rizikom — cela vrednost svih potpisanih ugovora može biti dovedena u pitanje u slučaju spora — preduzeće započinje migraciju prema kvalifikovanom ANSSI PSCo. Novo rešenje integruje napredni potpis sa kvalifikovanim sertifikatom, kvalifikovanim vremenske označavanjem i izvoznom revizijskom stazom. Projekt migracije, završen za manje od 8 nedelja, omogućava da se retroaktivno osiguraju novi čini i uspostavi politika dokumenta u skladu sa zakonima. Pravne ekipe procenjuju da rizik od spora vezan uz stare ugovore ostaje marginalan zbog njihove izvršenja bez spora, ali je svaki novi potpis od sada pokrivен.

Ostvareni dobici: smanjenje rizika od mogućeg spora vezanog uz autentičnost potpisa za 60%, i dobijanje prosečno 3,5 dana kraćeg vremena za potpis kod kompleksnih ugovora zahvaljujući automatizaciji toka verifikacije.

Scenario 2 — Advokatska kancelarija sa 25 saradnika specijalizovana za pravo privrede

Advokatska kancelarija koja želi digitalizovati potpis mandata, saveta i sudskih dokumenata ocenjuje nekoliko pružaoca. Njena mreža analitike integriše sledeće kriterijume: prisustvo na TSL, publikovanje dostupne PC/DPC, postojanje DPA usklađenog sa RGPD, dostupnost kontaktnog DPO i sertifikacija QSCD na daljinu.

Od pet ocenjenih pružaoca, samo dva zadovoljavaju sve kriterijume. Kancelarija na kraju bira PSCo koji nativno nudi kvalifikovani potpis preko QSCD na daljinu, čime garantuje pretpostavku pouzdanosti člana 1367 Francuskog gradanskog zakonika. Primena traje 3 nedelje, obučavanje uključeno. Rezultat: 75% mandata je sada potpisan za manje od 24 sata umesto 5 do 7 dana ranije (poštanski odgovor), a kancelarija može klijentima dokazati nivo pravne bezbednosti koji nudi rešenja — argument koji diferencira njene komercijalne ponude.

Scenario 3 — Bolnička grupa sa oko 1.200 kreveta

Bolnička grupa javnog sektora želi demorijalizovati radne ugovore, konvencije o praktičnom radu i sporazume o partnerstvu sa povezanim zdravstvenim ustanovama. Osetljivost tretiranih podataka (zdravstveni podaci medicinskog osoblja, HR podaci) nameće posebnu pažnju na RGPD obaveze PSCo.

DSI i Rukovaoac zaštite podataka ustanove zahtevaju: smeštaj podataka u Francuskoj kod HDS sertifikovanog čuvara (Hébergeur de Données de Santé, sertifikacija predviđena članom L.1111-8 Zakona o javnom zdravstvu), bez transfera van EEP, dokumentovanu AIPD za tretman identifikacije potpisnika, i DPA potpisana pre bilo koje produkcije.

Nakon izbora PSCo koji zadovoljava ove kriterijume, primena prvo pokriva HR ugovore (otprilike 800 činova godišnje). Prosečno vrijeme potpisa ugovora sa određenim trajanjem pada sa 9 dana na manje od 48 sati, oslobađajući značajnu kapacitet za HR timove. Ustanovka ima, pored toga, kompletan trag svih prikupljenih saglasnosti, koji se godišnje provjerava od strane njenog Rukovaoca zaštite podataka.

Zaključak

Obaveze koje padaju na teret pružaoca elektronskog potpisa u Francuskoj čine zahtevno regulatorno telo: kvalifikacija eIDAS, RGPD usklađenost, poštovanje standarda ETSI, obaveze NIS2 i neminovnо prilagođavanje eIDAS 2.0. Za preduzeća koja koriste usluge, uveravanja u usklađenost svog PSCo nije opciono — to je uslov bez kojeg se ne može osigurativati vrednost dokaznog materijala potpisanih činova i zaštita ličnih podataka potpisnika.

Certyneo je pružalac usluge elektronskog potpisa dizajniran da odgovori svim ovim zahtevima: eIDAS usklađenost, RGPD by design, suverani smeštaj i dokumentovana eIDAS 2.0 roadmap. Spreman da osigura vaše potpise u potpunoj usklađenosti? Kontaktirajte nas i primite personalizovanu potporu od prvog dana.