Skyldigheter för elektronisk signeringsleverantörer i Frankrike

Introduktion

Att distribuera en elektronisk signeringslösning i Frankrike är inte något man gör improviserat. Bakom varje kvalificerad eller avancerad signatur döljer sig dussintals juridiska skyldigheter som faller på ansvariga för förtroendetjänster (PSCo). eIDAS-förordningen, GDPR, allmän säkerhetskod, ETSI-standarder… det regulatoriska ramverket är både omfattande och utvecklande. För användarföretag är det viktigt att förstå dessa juridiska skyldigheter för elektronisk signering i Frankrike, eIDAS och GDPR för att välja en kompatibel partner och undvika juridiska risker. Denna artikel beskriver i detalj alla krav som gäller för PSCo:er som verkar på fransk mark.

---

Status som kvalificerad förtroendetjänstleverantör

Vad är en PSCo enligt eIDAS?

eIDAS-förordningen nr 910/2014 skiljer mellan två kategorier av leverantörer: icke-kvalificerade förtroendetjänstleverantörer och kvalificerade leverantörer (PSCQ). De förstnämnda kan erbjuda enkla eller avancerade elektroniska signeringsleverantörer utan obligatorisk tredjepartsrevisioner. De senare — enbart behöriga att utfärda kvalificerade signaturer enligt artikel 3(15) eIDAS — måste uppfylla betydligt strängare krav.

I Frankrike är det Agence nationale de la sécurité des systèmes d'information (ANSSI) som fyller rollen som tillsynsmyndighet ("Supervisory Body") enligt artikel 17 eIDAS. Den publicerar och underhåller den franska förtroendlistan (TSL — Trust Service List), tillgänglig på sin officiella webbplats, som listar kvalificerade leverantörer och deras tjänster.

Kvalificeringsproceduren: revision och efterlevnad

För att erhålla kvalificerad status måste en PSCo obligatoriskt:

• Få sina tjänster reviderade av en ackrediterad överensstämmelsebedömningsorgan (CAB — Conformity Assessment Body) enligt normen EN ISO/IEC 17065.

• Lämna in revisionsrapporten till ANSSI, som avgör huruvida den kvalificerade statusen beviljas. Denna status omvärderas minst var 24:e månad (artikel 20 §1 eIDAS).

• Meddela ANSSI om alla väsentliga ändringar i dess tjänster inom 3 månader före den planerade ändringen (artikel 21 eIDAS).

Om dessa steg inte följs utsätts leverantören för rayering från TSL och förlust av rättigheter kopplade till kvalificerad signatur. För klientföretag innebär det att använda en PSCo som inte är listad på TSL att man inte erhåller någon juridisk förmodan om tillförlitlighet.

> För mer information om olika signeringsnivåer och deras juridiska effekter, se vår artikel.

---

Tekniska och säkerhetskrav för PSCo:er

Efterlevnad av ETSI-standarder

Kvalificerade leverantörer måste följa en uppsättning europeiska standarder publicerade av European Telecommunications Standards Institute (ETSI). De viktigaste är:

• ETSI EN 319 401: allmänna säkerhetskrav gällande för alla PSCo:er.

• ETSI EN 319 411-1 och 411-2: policyer och praktiker för certifikatmyndigheter som utfärdar kvalificerade signeringscertifikat.

• ETSI EN 319 132: format för avancerad elektronisk signatur (XAdES för XML, PAdES för PDF, CAdES för CMS).

• ETSI EN 319 122: CAdES-format för kvalificerade signaturer.

• ETSI TS 119 431: krav för tjänster för fjärrsignering (QSCD på distans).

Dessa standarder är inte valfria: eIDAS-förordningen (bilaga II, III och IV) hänvisar uttryckligen till dem för att definiera minimikraven för kvalificerade certifikat och signaturgenereringsenheter.

Hantering av säkra signaturgeneringarenheter (QSCD)

En av grundpelarna för kvalificerad signatur är användningen av en säker signaturgenerenhetenhet (QSCD — Qualified Signature Creation Device) som är kompatibel med bilaga II i eIDAS. Leverantören måste garantera att:

• Den undertecknares privata nyckel kan inte genereras, lagras eller kopieras utanför QSCD:n.

• Nyckelgenereringen sker uteslutande i en certifierad miljö (Common Criteria EAL 4+ certifiering eller motsvarande).

• Autentisering av den undertecknande före varje signaturåtgärd baseras på minst två autentiseringsfaktorer.

I samband med fjärrsignering — allt vanligare i SaaS-miljöer — tillämpas dessa krav på HSM-servern (Hardware Security Module) som lagrar nycklarna. ANSSI har publicerat specifika skyddsprofiler (PP-0075, PP-0076) som definierar säkerhetskriterierna som måste uppfyllas.

Policy för kontinuitet och incidentanmälan

Artikel 19 i eIDAS kräver att varje förtroendetjänstleverantör (kvalificerad eller inte) måste:

• Meddela tillsynsmyndigheten (ANSSI) och, i förekommande fall, dataskyddsmyndigheten (CNIL) inom 24 timmar efter upptäckten av ett säkerhetsbryts som kan påverka tjänstens tillförlitlighet.

• Ha en dokumenterad och regelbundet testad plan för verksamhetskontinuitet.

• Ha en formaliserad informationssäkerhetspolicy som täcker framför allt riskhantering, incidenthantering och säkerhetskopieringspolicy.

Dessa krav överlappar delvis med kraven från NIS2-direktivet (2022/2555/EU), som antagits i fransk lag genom lag nr 2023-703 från den 1 augusti 2023, som klassificerar betydande PSCo:er bland viktiga eller kritiska enheter som är föremål för utökade cybersäkerhetskrav.

> Läs hur elektroniska signeringslösningar bör integrera dessa begränsningar i sina dokumentarbetsflöden.

---

GDPR-specifika skyldigheter för PSCo:er

Är PSCo dataansvarig eller databehandlare?

PSCo:ns GDPR-klassificering beror på vilken typ av tjänst som tillhandahålls:

• När PSCo direkt utfärdar kvalificerade certifikat på undertecknares vägnar och bestämmer ändamål för behandlingen av personuppgifter (identitet, biometriska autentiseringsdata), agerar den som dataansvarig enligt artikel 4(7) GDPR.

• När den integrerar sitt API i en B2B-klients plattform och behandlar personuppgifter enligt instruktioner från denna klient, antar den rollen som databehandlare (artikel 4(8) GDPR) och måste obligatoriskt underteckna ett DPA (Data Processing Agreement) i enlighet med artikel 28 GDPR.

I praktiken kombinerar de flesta SaaS PSCo:er båda kvalifikationerna: ansvarig för förvaltning av sin egen certifieringsinfrastruktur, databehandlare för behandling av undertecknares dokument och metadata.

Särskilda skyldigheter avseende biometriska uppgifter och identitetsuppgifter

Identifiering och autentisering av den undertecknande — ett obligatoriskt steg för utfärdandet av ett kvalificerat certifikat — innebär ofta behandling av känsliga uppgifter: skanning av ID-handlingar, videoselfies, biometriska ansiktsigenkänningsuppgifter. Dessa uppgifter utgör personuppgifter enligt GDPR, och kan ibland vara särskilda kategorier enligt artikel 9 GDPR (biometriska uppgifter).

PSCo:ns skyldigheter omfattar:

• Rättslig grund: uttryckligt samtycke (artikel 9§2a) eller, i vissa fall, juridisk förpliktelse (artikel 9§2b) för behandlingen av biometriska uppgifter.

• Begränsad lagringsperiod: enligt CNIL:s riktlinjer bör identifieringsuppgifter lagras endast så länge som strängt nödvändigt, normalt i linje med certifikatets giltighetstid + lagstadgad bevisperiod (ofta 10 år för privata handlingar, artikel 2224 i den franska Code civil).

• Obligatorisk konsekvensbedömning (DPIA) (artikel 35 GDPR) när behandlingen kan medföra höga risker — vilket systematiskt är fallet för biometri.

• Databehandlingsregister (artikel 30 GDPR) uppdaterat och dokumenterande varje behandlingskategori.

Internationell dataöverföring

Många PSCo:er lagrar hela eller delar av sin infrastruktur utanför Europeiska ekonomiska området (EES). I så fall gäller de lämpliga garantier enligt GDPR kapitel V: adequacy-beslut, standardkontraktsklausuler (SCC) från Europeiska kommissionen eller bindande företagsregler (BCR). Domen Schrems II (CJEU, C-311/18, 16 juli 2020) påminde om att överföringar till USA kräver en tidigare riskanalys per land.

> För att förstå effekten av dessa regler på din organisation, läs vår artikel.

---

Skyldigheter för transparens och information till användare

Certifieringspolicy (CP) och certifieringspraxis-deklaration (CPS)

Varje PSCo som utfärdar certifikat måste publicera en Certifieringspolicy (CP) och en Certifieringspraxis-deklaration (CPS), i enlighet med ETSI EN 319 411-standarden. Dessa dokument, fritt tillgängliga, beskriver i detalj:

• Procedurer för identifiering och registrering av undertecknare.

• De fysiska och logiska säkerhetsåtgärder som vidtas.

• Villkor för återkallelse av certifikat och relaterade tidsfristerna.

• PSCo:ns ansvar och begränsningar av garantier.

Frånvaron eller ofullständigheten av dessa dokument utgör ett bristande överensstämmande som kan identifieras under revideringen vid omqualificering av organisationen.

Förkontraktuell och kontraktuell information till klienter

Utöver rent tekniska krav föreskriver artikel 13 GDPR att PSCo:n måste tillhandahålla varje person vars uppgifter samlas in tydlig och tillgänglig information om:

• Identiteten på den dataansvarige och kontaktuppgifterna för dataskyddsombudsmannen (obligatorisk för PSCo:er som behandlar känsliga uppgifter i stor skala, artikel 37 GDPR).

• Ändamål och rättslig grund för varje behandling.

• Personers rättigheter (åtkomst, rättelse, radering, dataportabilitet, opposition).

• Eventuella mottagare av uppgifterna (databehandlare, myndigheter).

Denna information måste ingå i tjänstens integritetspolicy, användarvillkoren och, i förekommande fall, i DPA:n som sluts med affärsklister.

Kvalificerad tidsstämpel och granskningsspår

För att garantera den långsiktiga bevisvärdet för signaturer associerar seriösa PSCo:er systematiskt en kvalificerad elektronisk tidsstämpel (artikel 42 eIDAS) med varje signerad handling. Denna tidsstämpel utgör ett juridiskt bevis på existensen av data vid det angivna datumet. Bevarandet av granskningsspår (identifiering av loggar, dokumentavtryck, signaturuppgifter) är en faktisk skyldighet för att möjliggöra framtida rättslig kontroll.

> Jämför marknadsslösningar enligt dessa kriterier i vår guide.

---

eIDAS 2.0: nya skyldigheter i sikte för 2026–2027

Förordningen eIDAS 2.0 (EU) 2024/1183

Publicerad i EU:s officiella tidning den 30 april 2024, förordningen (EU) 2024/1183 kallad "eIDAS 2.0" förstärker betydligt PSCo:s skyldigheter kring tre områden:

• Europeisk digital identitetsplånbok (EUDI Wallet): medlemsstaterna måste tillhandahålla en certifierad digital identitetsplånbok senast den 2 november 2026. PSCo:er måste integrera sin tjänst med denna plånbok för att erbjuda kvalificerade signaturer via eIDAS 2.0-identiteten.

• Hantering av attributattestationer: eIDAS 2.0 introducerar kvalificerade attributattestationer (QEAAs), utgivna av kvalificerade attesttjänstleverantörer. Nya gransknings- och kvalificeringsförfaranden kommer att gälla.

• Förstärkning av tillsynen: nationella tillsynsmyndigheter (ANSSI för Frankrike) får utökade befogenheter, framför allt möjligheten att genomföra överraskningsrevisioner och att vidta tvingande korrigeringsåtgärder inom förkortade tidsfrister.

Praktiska konsekvenser för nuvarande leverantörer

PSCo:er som redan är kvalificerade under eIDAS 1.0 måste genomföra en progressiv anpassning före de fastställda tidsfristerna från Europeiska kommissionens implementeringsakter (publicerade eller under publicering). De viktigaste anpassningarna berör:

• Omformning av identifieringsinfrastrukturen för att stödja EUDI Wallet som autentiseringsmekanism.

• Uppdatering av CP/CPS för att integrera nya certifikat- och attesttypologier.

• Förstärkning av säkerhetskraven för fjärr-QSCD:er, med nya kommande skyddsprofiler.

För klientföretag innebär detta att verifiera redan idag att deras leverantör har en dokumenterad och verifierbar konformitetskarta för eIDAS 2.0.

Juridisk ram som gäller skyldigheter för elektronisk signeringsleverantörer

Den normativa kedjan som gäller för signeringsleverantörer som verkar i Frankrike är strukturerad på flera komplementära hierarkiska nivåer.

Fransk civillag — Artiklarna 1366 och 1367

Artikel 1366 i Code civil erkänner elektroniska handlingar som ett bevismedel motsvarande skriftliga handlingar, förutsatt att "personen från vilken den kommer kan identifieras på vederbörligt sätt och den är upprättad och bevarad på ett sätt som garanterar dess integritet". Artikel 1367 klargör att elektronisk signatur "består av användning av en tillförlitlig identifieringsprocess som garanterar dess länk till den handling som den är knuten till". Presumtionen om tillförlitlighet gäller signaturer som är kvalificerade enligt eIDAS, vilket vänder bevisbördan till undertecknares fördel.

eIDAS-förordningen nr 910/2014/EU

Denna förordning, som är direkt tillämplig i alla medlemsstater, fastställer den juridiska ramen för förtroendetjänster. Dess artikel 26 definierar villkoren för avancerad elektronisk signatur; artikel 28 kraven på kvalificerade certifikat; dess bilaga I specificerar det obligatoriska innehållet i dessa certifikat. Kvalificerade PSCo:er drar nytta av en presumtion om överensstämmelse med förordningens tekniska och juridiska krav (artikel 19§2), vilket utgör en större fördel vid tvister.

eIDAS 2.0 — (EU) 2024/1183

Publicerad den 30 april 2024, denna ändringsförordning introducerar nya kategorier av förtroendetjänster (kvalificerade attributattestationer, kvalificerade arkiveringstjänster) och förstärker tillsynskraven. Den upphäver och ersätter delvis förordning 910/2014, med progressiv tillämpning enligt Europeiska kommissionens implementeringsakter.

GDPR — Förordning (EU) 2016/679

GDPR gäller all behandling av personuppgifter inom ramen för en elektronisk signeringsleverantörs tjänst. Artiklarna 5 (principer för laglighet), 6 (rättslig grund), 9 (känsliga uppgifter), 13-14 (information), 28 (databehandling), 32 (säkerhet), 33-34 (anmälan av överträdelser), 35 (konsekvensbedömning) och 37 (dataskyddschef) utgör de oftast tillämpliga bestämmelserna. CNIL är den behöriga tillsynsmyndigheten i Frankrike och kan utdöma böter upp till 20 miljoner euro eller 4 % av den globala årsomsättningen (artikel 83§5 GDPR).

NIS2-direktiv — (EU) 2022/2555

Implementerad i fransk lag genom lag nr 2023-703 från den 1 augusti 2023, klassificerar NIS2 betydande PSCo:er bland viktiga eller kritiska enheter som är föremål för skyldigheter avseende cybersäkerhetsriskhantering och incidentanmälan till ANSSI inom 24 timmar (tidig varning) därefter 72 timmar (fullständig anmälan).

ETSI-standarder

Alla standarder EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 och TS 119 431 utgör den obligatoriska tekniska referensen för kvalificeringsrevision. Bristen på efterlevnad av dessa leder till omöjligheten att erhålla eller behålla kvalificerad status.

Juridiska risker vid bristande överensstämmelse

En leverantör som inte är i överensstämmelse riskerar: rayering från den franska TSL:n, engagemang av sitt avtalsansvar och skadeståndsansvar, CNIL-administrativa sanktioner, NIS2-böter upp till 10 miljoner euro eller 2 % av världsomfattande försäljning för viktiga enheter och 20 miljoner eller 4 % av omsättningen för kritiska enheter, samt rättsliga åtgärder från klienter som lidit skada på grund av juridiskt ogiltiga signaturer.

Användningsscenarier: hur företag verifierar sin PSCo:s efterlevnad

Scenario 1 — En industrigrupp som hanterar 3 000 leverantörskontrakt per år

En industrigrupp av mellanstorlek (ETI), aktiv inom tillverkning av mekanisk utrustning, dematraliserar alla sina leverantörskontrakt via en SaaS-plattform för elektronisk signering. Under en intern revision utlöst efter en regulatorisk förändring konstaterar juridiska direktionen att den vald leverantören — ursprungligen vald på priskriteriet — inte är registrerad på den franska TSL:n eller på någon annan europeisk TSL. De utfärdade signaturerna är av typen "enkel" utan robust mekanismer för undertecknares identifiering.

Inför juridisk risk — all kontraktssignering kan få sitt bevisvärde ifrågasatt i tvister — påbörjar företaget en migrering till en ANSSI-kvalificerad PSCo. Den nya lösningen integrerar avancerad signatur med kvalificerat certifikat, en kvalificerad tidsstämpel och ett exporterbart granskningsspår. Migreringsprojektet, genomfört på mindre än 8 veckor, gör det möjligt att retroaktivt säkra nya handlingar och att fastställa en kompatibel dokumentärpolicy. Juridiska team beräknar att risken för tvister relaterat till gamla kontrakt förblir marginell på grund av deras utförande utan bestridigande, men all ny signering omfattas nu.

Observerade vinster: 60 % minskning av potentiella tvister relaterade till undertecknares autenticitet, och en genomsnittlig besparing på 3,5 dagar för signeringen av komplexa kontrakt tack vare automationen av valideringsarbetsflödet.

Scenario 2 — En advokatbyrå med 25 medarbetare specialiserad på affärsrätt

En advokatbyrå som vill digitalisera signeringen av mandatuppdrag, rådgivningar och processhandlingar utvärderar flera leverantörer. Dess analysgrid integrerar följande kriterier: närvaro på TSL, publicering av en tillgänglig CP/CPS, existensen av ett GDPR-kompatibelt DPA, tillgänglighet för en kontaktbar dataskyddschef och certifiering av fjärr-QSCD:er.

Av fem utvärderade leverantörer uppfyller endast två alla kriterier. Byrån väljer slutligen en PSCo som nativeltal erbjuder signatur via fjärr-QSCD, vilket garanterar den franska Code civils artikel 1367 presumtion om tillförlitlighet. Implementeringen tar 3 veckor, inklusive utbildning. Resultat: 75 % av mandaten signeras nu på mindre än 24 timmar, jämfört med tidigare 5–7 dagar (postell försändelse), och byrån kan motivera för sina klienter den säkerhetsnivå som lösningen erbjuder — ett differentierade argument i dess affärsförslag.

Scenario 3 — En sjukhusenhet med cirka 1 200 sängar

En sjukhusgrupp öppnad vill dematrialisera arbetskontrakt, praktikavtal och partnersamarbetsöverenskommelser med andra vårdcentraler. Känslighetenen i behandlad data (personals hälsoupgifter, HR-uppgifter) kräver särskild uppmärksamhet på PSCo:s GDPR-skyldigheter.

Den medicinska IT-avdelningen och dataskyddschefen kräver: datahemlagring i Frankrike hos en HDS-certifierad datahemvärd (Hébergeur de Données de Santé — certifiering enligt artikel L.1111-8 i den franska Code de la santé publique), ingen överföring utanför EES, dokumenterad konsekvensbedömning för identifieringsbehandlingen av undertecknare och undertecknande av DPA före produktionsstarten.

Efter val av en PSCo som uppfyller dessa kriterier täcker distributionen i första hand HR-kontrakt (cirka 800 handlingar per år). Genomsnittlig underteckningsperiod för tidsbegränsade kontrakt minskar från 9 dagar till mindre än 48 timmar, vilket frigör betydande kapacitet för HR-teamen. Institutionen har dessutom full spårbarhet av samlade samtyckanden, som granskas årligen av dess dataskyddschef.

Slutsats

De juridiska skyldigheter som väger på elektronisk signeringsleverantörerna i Frankrike utgör ett krävande regelsamling: eIDAS-kvalificering, GDPR-överensstämmelse, efterlevnad av ETSI-standarder, NIS2-skyldigheter och omedelbar anpassning till eIDAS 2.0. För användarföretag är det att säkerställa att sin PSCo är kompatibel inte valfritt — det är en nödvändig villkorad för bevisvärdet för undertecknade handlingar och skyddet av undertecknares personuppgifter.

Certyneo är en elektronisk signeringsleverantör utformad för att uppfylla alla dessa krav: eIDAS-överensstämmelse, GDPR by design, suveränt värdskap och dokumenterad eIDAS 2.0-karta. Redo att säkra dina signaturer i fullständig överensstämmelse? Kontakta oss och få personaliserad support från dag ett.