Obligacije prestaoca elektronskeog potisa - Francuska

Uvod

Implementacija rešenja za elektronski potis u Francuskoj nije nešto što se može improvizovati. Iza svakog kvalifikovanog ili naprednog potisa kriju se deseci pravnih obaveza koje padaju na teret prestaoca usluga od poverenja (PSCo). Uredba eIDAS, RGPD, opšti referentni okvir za sigurnost, ETSI standardi... regulatorna struktura je istovremeno gusta i evoluciona. Za preduzeća koja koriste usluge, razumevanje ovih pravnih obaveza za prestaoca elektronskog potisa Francuska eIDAS RGPD je neophodno kako bi se odabrao usklađen partner i izbegao bilo kakav pravni rizik. Ovaj članak detaljno opisuje, odeljak po odeljak, sve zahteve primenjive na PSCo koji deluju na francuskoj teritoriji.

---

Status prestaoca kvalifikovanih usluga od poverenja

Šta je PSCo u smislu eIDAS?

Uredba eIDAS br. 910/2014 pravi razliku između dve kategorije prestaoaca: prestaoca usluga od poverenja nekvalifikovani i prestaoci kvalifikovani (PSCQ). Prvi mogu da nude usluge elektronskog potisa jednostavnog ili naprednog bez obaveznog revizije od strane treće strane. Drugi — jedini ovlašćeni da izdaju kvalifikovane potise u smislu člana 3(15) eIDAS — moraju da zadovolje znatno strožijim zahtevima.

U Francuskoj, Agencija za nacionalnu sigurnost informacionih sistema (ANSSI) ispunjava ulogu nadležnog organa nadzora („Supervisory Body") predviđenu članom 17 eIDAS. Objavljuje i održava listu poverenja francuske (TSL — Trust Service List), dostupnu na svojoj zvaničnoj veb-stranici, na kojoj su navedeni kvalifikovani prestaoci i njihove usluge.

Procedura kvalifikacije: revizija i usklađenost

Da bi dobio status kvalifikovanog, PSCo mora obavezno:

• Revidirajte svoje usluge od strane ovlašćenog tela za procenu usklađenosti (CAB — Conformity Assessment Body) akreditovanog od strane COFRAC prema normi EN ISO/IEC 17065.

• Podneti izveštaj o reviziji ANSSI, koji se izjašnjava o dodeljavanju kvalifikovanog statusa. Ovaj status se ponovno procenjuje najmanje svakih 24 meseca (član 20 §1 eIDAS).

• Obavestite ANSSI o bilo kojoj značajnoj promeni svojih usluga u roku od 3 meseca pre nego što se predviđena promena napravi (član 21 eIDAS).

Nepoštovanje ovih koraka izlaže prestaoca brisanju sa TSL i gubitku pravnih pretpostavki vezanih za kvalifikovani potis. Za client preduzeća, korišćenje PSCo koji nije naveden na TSL znači da nema nikakve legalne pretpostavke pouzdanosti.

> Više informacija o različitim nivoima potisa i njihovim pravnim efektima potražite našeg kompletnog vodiča kroz uredbu eIDAS 2.0.

---

Tehnički zahtevi i obaveze bezbednosti namenjene PSCo

Poštovanje ETSI standarda

Kvalifikovani prestaoci moraju da se usklađuju sa skupom evropskih standarda koje je objavio Evropski institut za telekomunikacijske standarde (ETSI). Glavne su:

• ETSI EN 319 401: opšti zahtevi bezbednosti primenjivi na sve PSCo.

• ETSI EN 319 411-1 i 411-2: politike i prakse organa za sertifikaciju koji izdaju sertifikate kvalifikovanog potisa.

• ETSI EN 319 132: formati elektronskog naprednog potisa (XAdES za XML, PAdES za PDF, CAdES za CMS).

• ETSI EN 319 122: format CAdES za kvalifikovane potise.

• ETSI TS 119 431: zahtevi za usluge kreiranja potisa na daljinu (QSCD na daljinu).

Ovi standardi nisu opcioni: Uredba eIDAS (Prilog II, III i IV) na njih eksplicitno poziva da bi se definisali minimalni zahtevi za sertifikate kvalifikovanog i uređaje za pravljenje potisa.

Upravljanje kvalifikovanim uređajima za pravljenje potisa (QSCD)

Jedan od stubova kvalifikovanog potisa je upotreba kvalifikovanog sigurnog uređaja za pravljenje potisa (QSCD — Qualified Signature Creation Device) usklađenog sa Prilogom II eIDAS. Prestaoc mora da osigura da:

• Privatni ključ podpisujućeg ne može biti generisan, pohranjen ili kopiran izvan QSCD.

• Generisanje ključa se vrši isključivo u certifikovanom okruženju (sertifikacija Common Criteria EAL 4+ ili ekvivalent).

• Autentifikacija podpisujućeg koja prethodi bilo kom činu potpisivanja se oslanja na najmanje dva faktora autentifikacije.

U kontekstu potpisivanja na daljinu — sve rasprostranjenije u SaaS okruženjima — ovi zahtevi se primenjuju na HSM server (Hardware Security Module) koji sadrži ključeve. ANSSI je objavio specifične profile zaštite (PP-0075, PP-0076) koji određuju sigurnosne kriterijume koje treba dostići.

Politika kontinuiteta i obavest o incidentima

Član 19 eIDAS nameće svakom prestacu usluga od poverenja (kvalifikovanom ili ne) da:

• Obavestite organ nadzora (ANSSI) i, po potrebi, organ za zaštitu podataka (CNIL), u roku od 24 časa nakon detekcije povrede sigurnosti koja može uticati na pouzdanost usluge.

• Vodite plan kontinuiteta poslovanja koji je dokumentovan i redovno testiran.

• Imaju politiku sigurnosti informacija koja je formalno uspostavljena, pokrivajući posebno upravljanje rizicima, upravljanje incidentima i politiku rezervnog kopiranja.

Ovi zahtevi se delimično preklapaju sa onima iz direktive NIS2 (2022/2555/UE), transpozirane u francusko pravo Zakonom br. 2023-703 od 1. avgusta 2023, koji klasifikuje PSCo značajne veličine među važne subjekte ili esencijalne subjekte koji su podložni pojačanim obavezama kibernetske sigurnosti.

> Saznajte kako se elektronski potis za advokatske kancelarije mora integrisati sa ovim ograničenjima u njihovim tokovima poslovanja.

---

RGPD specifične obaveze za PSCo

Da li je PSCo odgovoran za obradu podataka ili podprocesira?

Kvalifikacija RGPD prestaoca zavisi od prirode pružene usluge:

• Kada PSCo direktno emituje kvalifikovane sertifikate u imena podpisujućeg i određuje svrhe obrade lične podatke (identitet, biometrijski podaci autentifikacije), deluje kao odgovoran za obradu u smislu člana 4(7) RGPD.

• Kada integrira svoje API u platformu B2B klijenta i obrađuje lične podatke samo prema uputstvima tog klijenta, ima kvalitet podprocesira (član 4(8) RGPD) i mora obavezno zaključiti DPA (Ugovor o obradi podataka) usklađen sa članom 28 RGPD.

U praksi, većina SaaS PSCo kombinuje obe kvalifikacije: odgovoran za upravljanje svojom vlastitom infrastrukturom sertifikacije, podprocesira za obradu dokumenata i metapodataka podpisujućih.

Specifične obaveze vezane za biometrijske podatke i podatke o identitetu

Identifikacija i autentifikacija podpisujućeg — obavezna faza za emitovanje kvalifikovanog sertifikata — često uključuje obradu osetljivih podataka: skeniranje lične karti, selfie video, biometrijski podaci prepoznavanja lica. Ovi podaci predstavljaju lične podatke koji padaju pod RGPD, pa čak i biometrijske podatke koji spadaju pod član 9 RGPD (posebne kategorije).

Obaveze PSCo uključuju:

• Pravni osnov: eksplicitan pristanak (član 9§2a) ili, u nekim slučajevima, pravna obaveza (član 9§2b) za obradu biometrijskih podataka.

• Ograničeni period čuvanja: prema uputstvima CNIL, podaci o identifikaciji moraju biti čuvani samo koliko je strogo potrebno, obično usklađeno sa trajanjem važenja sertifikata + zakonski rok dokazivanja (često 10 godina za privatne dokumente, član 2224 Građanskog zakonika).

• Analiza uticaja (AIPD) obavezna (član 35 RGPD) čim je obrada verovatno da prouzrokuje visok rizik — što je sistematski slučaj za biometriju.

• Registar obrade (član 30 RGPD) ažuriran i dokumentujući svaku kategoriju obrade.

Međunarodni transfer podataka

Mnogi PSCo hostuju sve ili deo svoje infrastrukture izvan Evropskog ekonomskog prostora (EEP). U tom slučaju, odgovarajuće zaštite zahtevane poglavljem V RGPD se nameću: odluka o adekvatnosti, standardne ugovorne klauzule (SCCs) od strane Evropske komisije ili obavezujuća korporativna pravila (BCR). Presuda Schrems II (CJEU, C-311/18, 16. jula 2020) je podsjetila da transferi ka Sjedinjenim Državama zahtevaju preliminarnu analizu rizika zemlje.

> Da razumete uticaj ovih pravila na vašu organizaciju, pogledajte naš vodiči o elektronskom potisu u preduzeću.

---

Obaveze transparentnosti i informisanja prema korisnicima

Politika sertifikacije (PC) i izjava o praksi sertifikacije (DPC)

Svi PSCo koji emituju sertifikate dužni su da objave Politiku sertifikacije (PC) i Izjavu o praksi sertifikacije (DPC), u skladu sa standardom ETSI EN 319 411. Ovi dokumenti, slobodno dostupni, detaljizuju:

• Postupke identifikacije i registracije podpisujućih.

• Mere fizičke i logičke bezbednosti koje su primenjene.

• Uslove revokacije sertifikata i povezane rokove.

• Odgovornosti i ograničenja garancije PSCo.

Odsustvo ili nepotpunost ovih dokumenata predstavlja neusklađenost koja se može naći pri reviziji prekvalifikacije od strane akreditovanog tela.

Predugovorna i ugovorna informacija klijentima

Pored čisto tehnijskih obaveza, član 13 RGPD nameće PSCo da pruži svakoj osobi čiji su podaci prikupljeni jasnu i pristupačnu informaciju o:

• Identitetu odgovornog za obradu i kontakt DPPO (obavezno za PSCo koji obrađuju u većoj meri osetljive podatke, član 37 RGPD).

• Svrhe i pravnom osnovu svake obrade.

• Pravih osoba (pristup, ispravka, brisanje, prenosivost, prigovor).

• Mogućim primaoce podataka (podprocesire, vlasti).

Ove informacije moraju biti dostupne u politici privatnosti usluge, u Uslovima korišćenja i, po potrebi, u DPA zaključenom sa klijentima koji su profesionalci.

Kvalifikovani vremenski pečat i pista svidoka

Da bi se osigurala dugotrajnost vrednosti dokazivanja potpisa, ozbiljni PSCo sistematski povezuju kvalifikovani elektronski vremenski pečat (član 42 eIDAS) sa svakim potpisanim činom. Ovaj vremenski pečat čini zakonski pretpostavljeni dokaz o postojanju podataka na navedenom datumu. Čuvanje piste svidoka (identifikacioni logovi, otisak dokumenta, podaci potpisa) je faktička obaveza da bi se omogućila bilo kakva Later sudska provera.

> Uporedite rešenja na tržištu prema ovim kriterijumima u našoj poređenju rešenja za elektronski potis.

---

eIDAS 2.0: nove obaveze na horizontu 2026-2027

Uredba eIDAS 2.0 (EU) 2024/1183

Objavljena u Zvaničnom glasniku EU 30. aprila 2024, uredba (EU) 2024/1183 poznata kao „eIDAS 2.0" značajno pojačava obaveze PSCo oko tri ose:

• Evropski digitalni novčanik za identitet (EUDI Wallet): države članice moraju da stave na raspolaganje sertifikovani digitalni novčanik za identitet do 2. novembra 2026. PSCo će morati integrisati svoju uslugu sa ovim novčanikom da ponude kvalifikovane potise preko eIDAS 2.0 identiteta.

• Upravljanje atestacijama atributa: eIDAS 2.0 uvodi kvalifikovane atestacije atributa (QEAAs), emitirane od strane kvalifikovanih prestaoaca atestacije. Primenjuju se nove procedure revizije i kvalifikacije.

• Pojačanje nadzora: nacionalni organi nadzora (ANSSI za Francusku) vide proširena svoja ovlašćenja, posebno mogućnost da sprovedu nenajavljene revizije i nametnu obavezne korekcijske mere u skraćenim rokovima.

Praktične implikacije za sadašnje prestaoca

PSCo već kvalifikovani pod eIDAS 1.0 moraće da nastave sa progresivnom usklađenošću pre nego što dođe do utvrđenih rokova od strane Evropske komisije (objavljenih ili u toku objavljivanja). Glavne adaptacije se tiču:

• Prerada infrastrukture identifikacije da bude podržana EUDI Wallet kao sredstvo autentifikacije.

• Ažuriranje PC/DPC kako bi se integrisale nove tipologije sertifikata i atestacija.

• Pojačanje zahteva bezbednosti za udaljene QSCD, sa novim profilima zaštite koji će doći.

Za client preduzeća, to znači da već sada verifikuju da njihov prestaoc ima dokumentovanu i verifikabilnu roadmap usklađenosti sa eIDAS 2.0.

Pravni okvir primenjiv na obaveze prestaoaca elektronskog potisa

Hijerarhija normi primenjive na prestaoca elektronskog potisa koji deluju u Francuskoj artikulisana je na nekoliko hijerarhijski komplementarnih nivoa.

Francuski Građanski zakonik — Članovi 1366 i 1367

Član 1366 Građanskog zakonika priznaje elektronski dokument kao način dokazivanja ekvivalentan papirnom dokumentu, pod uslovom da „osoba od koje je potiče može biti dužno identifikovana i da je uspostavljena i čuvana u uslovima koji osiguravaju integritet." Član 1367 pojašnjava da elektronski potpis „čini korišćenje pouzdane procedure identifikacije koja garantuje njegovu vezu sa činom kojem je priložen." Pretpostavka pouzdanosti koristi kvalifikovanim potisima u smislu eIDAS, preokrenuvši teret dokaza u korist podpisujućeg.

Uredba eIDAS br. 910/2014/EU

Ova uredba, koja se direktno primenjuje u svim državama članicama, uspostavlja pravni okvir usluga od poverenja. Njen član 26 definiše uslove za elektronski napredni potpis; član 28 zahteve sertifikata kvalifikovanog; Prilog I detaljizuje obavezni sadržaj tih sertifikata. Kvalifikovani PSCo koriste pretpostavku usklađenosti sa tehničkim i pravnim zahtevima uredbe (član 19§2), što predstavlja značajnu prednost u slučaju spora.

Uredba eIDAS 2.0 — (EU) 2024/1183

Objavljena 30. aprila 2024, ova uredba o izmeni uvodi nove kategorije usluga od poverenja (kvalifikovane atestacije atributa, kvalifikovane usluge arhiviranja) i pojačava obaveze nadzora. Otkazuje i delimično zamenjuje uredbu 910/2014, sa progresivnom primenjivošću prema aktima o sprovođenju Evropske komisije.

RGPD — Uredba (EU) 2016/679

RGPD se primenjuje na bilo koju obradu ličnih podataka izvršenu u kontekstu usluge elektronskog potisa. Članovi 5 (principi zakonitosti), 6 (pravni osnov), 9 (osetljivi podaci), 13-14 (informisanje), 28 (podprocesiranje), 32 (sigurnost), 33-34 (obavest o kršenju), 35 (AIPD) i 37 (DPPO) predstavljaju najčešće primenjive odredbe. CNIL je nadležan organ nadzora u Francuskoj i može naložiti kazne do 20 miliona evra ili 4% godišnjeg svetskog prometa (član 83§5 RGPD).

Direktiva NIS2 — (EU) 2022/2555

Transpozirano u francouzko pravo Zakonom br. 2023-703 od 1. avgusta 2023, NIS2 klasifikuje značajne PSCo među važne ili esencijalne subjekte koji su podložni obavezama upravljanja kibernetskim rizicima i obaveštavanja ANSSI u roku od 24 časa (rana upozorenja) zatim 72 časa (kompletan obaveštaj).

ETSI standardi

Ceo skup standarda EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 i TS 119 431 čini obavezan tehnički referentni sistem za reviziju kvalifikacije. Njihovo nepoštovanje rezultira nemogućnošću da se dobije ili održi kvalifikovani status.

Pravni rizici u slučaju neusklađenosti

Neusklađeni prestaoc je izložen: brisanju sa francuske TSL, angažovanju svoje ugovorne i vanugovorne odgovornosti, administrativnim kaznama CNIL, kaznama NIS2 koje mogu dostići 10 miliona evra ili 2% svetskog prometa za važne subjekte i 20 miliona ili 4% svetskog prometa za esencijalne subjekte, kao i pravnim žalbama klijenata koji su pretrpeli štetu zbog invaljanog elektronskog potisa.

Scenariji korišćenja: kako preduzeća verifikuju usklađenost svog PSCo

Scenario 1 — Industrijska grupa koja upravlja sa 3 000 ugovora sa dobavljačima godišnje

Industrijska grupa srednje veličine (ETI), aktivna u proizvodnji mehaničke opreme, dematerijaluje sve svoje ugovore sa dobavljačima putem SaaS platforme za elektronski potis. Tokom interne revizije izazvane evolucijom propisa, pravna direkcija otkriva da je odabrani prestaoc — počeo sa odabrom prema ceni — nije referensan ni na francuskoj TSL, ni na bilo kojoj evropskoj TSL. Izdati potisi su tipa „jednostavni" bez snažnog mehanizma identifikacije podpisujućeg.

Suočena sa pravnim rizikom — celina svih potpisanih ugovora mogla bi videti njihovu vrednost dokaza osporenu u slučaju spora — preduzeće pokreće migraciju ka kvalifikovanom PSCo ANSSI. Novo rešenje integruje napredni potpis sa kvalifikovanim sertifikatom, kvalifikovanim vremenskim pečatom i izvoznom pistom svidoka. Demarketka migracije, izvedena za manje od 8 nedelja, omogućava da se retrospektivno osiguraju novi čini i da se uspostavi usklađena politika dokumentovanja. Timovi pravne direkcije procenjuju da rizik spora povezan sa starim ugovorima ostaje marginalan zbog njihove izvršavanja bez spora, ali je svaki novi potpis sada pokrivен.

Posmatrani dobitci: smanjenje od 60% mogućih sporova vezanih za autentičnost potpisa, i dobit od 3,5 dana prosečnog skraćenja vremena potpisivanja na složenim ugovorima zahvaljujući automatizaciji toka rada validacije.

Scenario 2 — Advokatska kancelarija sa 25 saradnika specijalizovana za korporativno pravo

Advokatska kancelarija želi da digitalizuje potpisivanje mandatima, konsultacijama i sudskim aktima i procenjuje nekoliko prestaoaca. Njena matrica analize integriše sledeće kriterijume: prisustvo na TSL, objavljivanje pristupačne PC/DPC, postojanje RGPD usklađenog DPA, dostupnost kontaktibilnog DPPO i sertifikacija udaljenih QSCD.

Od pet procenjenih prestaoaca, samo dva zadovoljavaju sve kriterijume. Kancelarija finalno bira PSCo koji natively nudi kvalifikovani potpis preko QSCD na daljinu, garantujući pretpostavku pouzdanosti člana 1367 Građanskog zakonika. Implementacija traje 3 nedelje, uključujući obuku. Rezultat: 75% mandatima se sada potpisuje za manje od 24 časa nasuprot 5 do 7 dana ranije (poštanski slanje), a kancelarija može da opravda svojim klijentima nivo pravne sigurnosti koji nudi rešenje — diferencirajući argument u njegovim komercijalnim predlozima.

Scenario 3 — Bolnička grupa od oko 1 200 kreveta

Bolnička grupa javnog javnog sektora želi da dematerijaluje radne ugovore, sporazume o staži i partnerske dogovore sa povezanim zdravstvenim ustanovama. Osetljivost tretiranih podataka (zdravstveni podaci osoblja zdravstva, HR podaci) nameće obazrivost na RGPD obavezama PSCo.

DSI i DPPO ustanove zahtevaju: hostovanje podataka u Francuskoj kod sertifikovanog HDS hostovera (Hejter podataka o zdravstvu, sertifikacija predvidjena članom L.1111-8 Zakona o javnoj medicini), ne transfer izvan EEP, dokumentovana AIPD za tretiranje identifikacije podpisujućih, i potpisani DPA pre bilo kakve produkcijske aktivacije.

Posle odabira PSCo odgovarajućeg ovim kriterijumima, deployment pokriva prioritetno HR ugovore (oko 800 čimova godišnje). Prosečno vreme potpisivanja ugovora sa fiksnim rokom trajanja pada sa 9 dana na manje od 48 časova, oslobađajući značajnu kapacitet za HR timove. Ustanova ima takođe kompletan prikaz toka svih prikupljenih saglasnosti, koji se godišnje revajdrira od strane svog DPPO.

Zaključak

Pravne obaveze koje padaju na prestaoca elektronskog potisa u Francuskoj čine zahtevno normativno telo: kvalifikacija eIDAS, usklađenost RGPD, poštovanje ETSI standarda, NIS2 obaveze i neminovna adaptacija na eIDAS 2.0. Za korisnička preduzeća, osiguranje usklađenosti svog PSCo nije opciono pitanje — to je uslov sine qua non vrednosti dokaza potpisanih čimova i zaštite ličnih podataka podpisujućih.

Certyneo je prestaoc elektronskog potisa projektovan da zadovoljи sve ove zahteve: usklađenost eIDAS, RGPD by design, suverenski hosting i dokumentovana eIDAS 2.0 roadmap. Spreman da osigura vaše potise u punoj usklađenosti? Tražite demonstraciju ili otvorite nalog na Certyneo i dobijte personalizovanu podršku od prvog dana.