Obligationer för elektroniska signeringsprestatörer i Frankrike

Introduktion

Att implementera en elektronisk signeringslösning i Frankrike är inte något man improverar. Bakom varje kvalificerad eller avancerad signatur gömmer sig dussintals juridiska obligationer som åligger tjänstleverantören av förtroendetjänster (PSCo). eIDAS-förordningen, RGPD, allmän säkerhetsnorm, ETSI-standarder... det normativa ramverket är både omfattande och utvecklingsbart. För användarföretag är det avgörande att förstå dessa juridiska obligationer för elektroniska signeringsprestatörer i Frankrike eIDAS RGPD för att välja en kompatibel partner och undvika juridiska risker. Denna artikel beskriver, avsnitt för avsnitt, alla krav som gäller för PSCo som verkar på fransk territorium.

---

Status för kvalificerad förtroendetjänstleverantör

Vad är en PSCo enligt eIDAS?

Förordningen eIDAS nr 910/2014 skiljer mellan två kategorier av tjänstleverantörer: icke-kvalificerade förtroendetjänster och kvalificerade tjänstleverantörer (PSCQ). De förstnämnda kan erbjuda enkla eller avancerade elektroniska signeringstjänster utan obligatorisk tredjepartsrevision. De senare — som endast är auktoriserade att leverera kvalificerade signaturer enligt artikel 3(15) i eIDAS — måste uppfylla betydligt strängare krav.

I Frankrike är det Agence nationale de la sécurité des systèmes d'information (ANSSI) som fyller rollen som tillsynsmyndighet (« Supervisory Body ») enligt artikel 17 i eIDAS. Den publicerar och underhåller den franska förtroendedatakällistan (TSL — Trust Service List), tillgänglig på sin officiella webbplats, som listar kvalificerade prestatörer och deras tjänster.

Kvalificeringsförfarandet: revision och överensstämmelse

För att få kvalificerad status måste en PSCo obligatoriskt:

• Låta sina tjänster revideras av ett ackrediterat organismus för överensstämmelseprövning (CAB — Conformity Assessment Body) enligt normen EN ISO/IEC 17065.

• Lämna revisionsrapporten till ANSSI, som beslutar om tilldelning av kvalificerad status. Denna status omvärderas minst var 24:e månad (artikel 20 §1 eIDAS).

• Meddela ANSSI om varje väsentlig förändring av sina tjänster inom 3 månader före den planerade ändringen (artikel 21 eIDAS).

Underlåtelse att följa dessa steg utsätter leverantören för raderad från TSL och förlusten av juridiska antaganden kopplade till den kvalificerade signaturen. För klientföretag innebär detta att vädja till en PSCo som inte är listad på TSL att inte få någon juridisk antagande om tillförlitlighet.

> För mer information om de olika nivåerna av signering och deras juridiska verkningar, se vår kompletta guide till förordningen eIDAS 2.0.

---

Tekniska och säkerhetsmässiga obligationer för PSCo

Efterlevnad av ETSI-standarder

Kvalificerade prestatörer måste följa en serie europeiska standarder publicerade av European Telecommunications Standards Institute (ETSI). De viktigaste är:

• ETSI EN 319 401: allmänna säkerhetskrav tillämpliga på alla PSCo.

• ETSI EN 319 411-1 och 411-2: policyer och praxis för certifikatmyndigheter som utfärdar kvalificerade signeringscertifikat.

• ETSI EN 319 132: format för avancerade elektroniska signaturer (XAdES för XML, PAdES för PDF, CAdES för CMS).

• ETSI EN 319 122: CAdES-format för kvalificerade signaturer.

• ETSI TS 119 431: krav för fjärrsigeringsskapandetjänster (QSCD på distans).

Dessa normer är inte valfria: eIDAS-förordningen (Bilaga II, III och IV) hänvisar uttryckligen till dem för att definiera minimiomfattningen för kvalificerade certifikat och signeringsuppgiftsskapande enheter.

Hantering av säkra signeringsuppgiftsskapande enheter (QSCD)

En av pelarna i den kvalificerade signaturen är användningen av en säker enhet för signeringsuppgiftsskapande (QSCD — Qualified Signature Creation Device) i överensstämmelse med Bilaga II till eIDAS. Leverantören måste garantera att:

• Den privata nyckeln hos undertecknaren inte kan genereras, lagras eller kopieras utanför QSCD.

• Nyckelgenerationen sker uteslutande i en certifierad miljö (Common Criteria-certifiering EAL 4+ eller motsvarande).

• Autentisering av undertecknaren före varje signeringshandling baseras på minst två autentiseringsfaktorer.

I en fjärrsigneringskontekst — allt vanligare i SaaS-miljöer — gäller dessa krav för HSM-servern (Hardware Security Module) som är värd för nycklarna. ANSSI har publicerat specifika skyddsprofiler (PP-0075, PP-0076) som definierar säkerhetskriterierna som ska uppnås.

Policy för kontinuitet och meddelandeincidenter

Artikel 19 i eIDAS förpliktar alla förtroendetjänstleverantörer (kvalificerade eller inte) att:

• Meddela tillsynsmyndigheten (ANSSI) och, vid behov, dataskyddsmyndigheten (CNIL), inom 24 timmar efter upptäckten av en säkerhetskränkning som kan påverka tjänstens tillförlitlighet.

• Upprätthålla en dokumenterad och regelbundet testad verksamhetskontinuitetsplan.

• Ha en säkerhetspolicy för information som formaliseras och täcker bland annat riskhantering, incidenthantering och säkerhetskopieringspolicy.

Dessa krav överlappar delvis med de i NIS2-direktivet (2022/2555/EU), implementerat i fransk lag genom lag nr 2023-703 från 1 augusti 2023, som klassificerar betydande PSCo bland viktiga eller väsentliga enheter som är föremål för stärkta cybersäkerhetskrav.

> Läs hur elektronisk signering för juridiska konton måste integrera dessa begränsningar i deras dokumentarbetsflöden.

---

RGPD-specifika obligationer för PSCo

Är PSCo ansvarig för behandlingen eller databehandlare?

PSCo:s RGPD-klassificering beror på tjänstens karaktär:

• När PSCo direkt utfärdar kvalificerade certifikat på undertecknarens vägnar och bestämmer ändamålen för behandlingen av personuppgifter (identitet, biometriska autentiseringsdata), agerar han som personuppgiftsansvarig enligt artikel 4(7) RGPD.

• När han integrerar sitt API i en B2B-klients plattform och behandlar personuppgifter enligt denna klients instruktioner, har han kvalifikationen databehandlare (artikel 4(8) RGPD) och måste obligatoriskt ingå ett DPA (Data Processing Agreement) i enlighet med artikel 28 RGPD.

I praktiken samlar de flesta SaaS-PSCo båda kvalifikationerna: ansvarshavande för hanteringen av sin egen certifieringsinfrastruktur, databehandlare för behandlingen av dokument och metadata för undertecknare.

Specifika obligationer relaterade till biometriska data och identitet

Identifiering och autentisering av undertecknaren — ett obligatoriskt steg för att utfärda ett kvalificerat certifikat — innebär ofta behandling av känslig information: skanning av identitetshandlingar, videoselfie, biometriska data från ansiktsigenkänning. Dessa data utgör personuppgifter enligt RGPD, eller till och med biometriska data enligt artikel 9 RGPD (särskilt känsliga kategorier).

PSCo:s obligationer inkluderar:

• Rättslig grund: uttryckligt medgivande (artikel 9§2a) eller, i vissa fall, juridisk skyldighet (artikel 9§2b) för behandling av biometriska data.

• Begränsad bevarandeperiod: enligt CNIL:s riktlinjer måste identifieringsdata bevaras så länge som är absolut nödvändigt, vanligtvis i linje med certifikatets giltighet + juridisk bevisperiod (ofta 10 år för privata dokument, artikel 2224 i den franska borgerliga koden).

• Konsekvensbedömning (AIPD) är obligatorisk (artikel 35 RGPD) när behandlingen kan medföra höga risker — vilket systematiskt är fallet för biometri.

• Register över behandlingar (artikel 30 RGPD) som hålls uppdaterad och dokumenterar varje behandlingskategori.

Internationell dataöverföring

Många PSCo är värdföretag för hela eller delar av sin infrastruktur utanför Europeiska ekonomiska samarbetsområdet (EES). I detta fall gäller lämpliga garantier enligt RGPD:s kapitel V: adequacy-beslut, standardkontraktsklausuler (SCCs) från Europeiska kommissionen eller bindande företagsregler (BCR). Domen Schrems II (CJEU, C-311/18, 16 juli 2020) påminde om att överföringar till USA kräver en föregående landsriskanalys.

> För att förstå effekterna av dessa regler på din organisation, se vår guide om elektronisk signering i företag.

---

Transparens- och informationsplikt gentemot användarna

Certificeringspolicy (PC) och certifieringspraxisförklaring (DPC)

Varje PSCo som utfärdar certifikat är skyldigt att publicera en Certificeringspolicy (PC) och en Certifieringspraxisförklaring (DPC), i enlighet med normen ETSI EN 319 411. Dessa dokument, fritt tillgängliga, beskriver:

• Förfarandena för identifiering och registrering av undertecknare.

• De fysiska och logiska säkerhetsmått som tillämpas.

• Villkoren för certifikatåterkallelse och tillhörande tidsfrister.

• PSCo:s ansvarsområden och garantibegränsningar.

Avsaknaden eller ofullständigheten i dessa dokument utgör en icke-överensstämmelse som kan noteras vid omvärdering genom det ackrediterade organet.

Förhandskontraktlig och kontraktlig information för kunder

Bortom rent tekniska obligationer förpliktar artikel 13 i RGPD PSCo att ge varje person vars data samlas in klar och tillgänglig information om:

• Identiteten på den ansvarige och kontaktinformationen för dataskyddschefen (obligatorisk för PSCo som i stor skala behandlar känslig data, artikel 37 RGPD).

• Ändamål och rättslig grund för varje behandling.

• Personernas rättigheter (tillgång, rättelse, radering, överförbarhet, invändning).

• Eventuella mottagare av data (databehandlare, myndigheter).

Denna information måste finnas i sekretessmeddelandet för tjänsten, i villkoren och, vid behov, i DPA som ingåtts med yrkesmässiga kunder.

Kvalificerad tidsstämpel och granskningsspår

För att garantera långtida bevisvärde för signaturer förknippar allvarliga PSCo systematiskt varje undertecknad handling med en kvalificerad elektronisk tidsstämpel (artikel 42 eIDAS). Denna tidsstämpel utgör juridiskt presumerat bevis på dataens existens på det angivna datumet. Underhållet av granskningsspåret (identifieringsloggar, dokumentavtryck, signaturdata) är en faktisk skyldighet för att möjliggöra framtida juridisk verifiering.

> Jämför marknadslösningarna enligt dessa kriterier i vår jämförelse av elektroniska signeringslösningar.

---

eIDAS 2.0: nya obligationer på vägen 2026-2027

Förordningen eIDAS 2.0 (EU) 2024/1183

Publicerad i EU:s officiella tidning den 30 april 2024 stärker förordningen (EU) 2024/1183 kallad « eIDAS 2.0 » PSCo:s obligationer kraftigt kring tre axlar:

• Den europeiska portföljen för digital identitet (EUDI Wallet): medlemsstaterna måste tillhandahålla en certifierad digital identitetsportfölj senast 2 november 2026. PSCo kommer att behöva integrera sin tjänst med denna portfölj för att erbjuda kvalificerade signaturer via eIDAS 2.0-identitet.

• Hantering av attributattestationer: eIDAS 2.0 introducerar kvalificerade attributattestationer (QEAAs), utfärdade av kvalificerade attributtestationsleverantörer. Nya revisions- och kvalificeringsförfaranden kommer att gälla.

• Stärkt tillsyn: nationella tillsynsmyndigheter (ANSSI för Frankrike) får utökade befogenheter, särskilt möjligheten att genomföra oanmälda revisioner och att införa tvingande korrigeringsåtgärder inom förkortat tidsplan.

Praktiska konsekvenser för nuvarande prestatörer

PSCo som redan är kvalificerad enligt eIDAS 1.0 kommer att behöva genomföra en progressiv överensstämmelseanpassning före de tidsfrister som fastställs av Europeiska kommissionens genomförandebeslut (publicerade eller under publicering). De viktigaste anpassningarna avser:

• Omutformning av identifieringsinfrastrukturen för att stödja EUDI Wallet som autentiseringsmöjlighet.

• Uppdatering av PC/DPC för att integrera nya typer av certifikat och attesteringar.

• Stärkt säkerhet för fjärr-QSCD, med nya skyddsprofiler som kommer.

För klientföretag innebär detta att kontrollera redan idag att deras leverantör har en dokumenterad och verifierbar eIDAS 2.0-överensstämmelseroadmap.

Tillämpligt rättsligt ramverk för obligationer för elektroniska signeringsprestatörer

Det normativa kedjan som gäller för elektroniska signeringsprestatörer verksamma i Frankrike är strukturerad på flera hierarkiska och komplementära nivåer.

Fransk civillag — Artiklarna 1366 och 1367

Artikel 1366 i den franska civila koden erkänner elektronisk skrift som ett bevismedel motsvarande pappersbevis, förutsatt att « personen vars den härrör från kan behörigen identifieras och att den är etablerad och bevarad under förhållanden som är lämpade att garantera dess integritet ». Artikel 1367 förtydligar att elektronisk signatur « består i användningen av en tillförlitlig identifieringsmetod som garanterar dess samband med den handling den är kopplad till ». Presumtionen om tillförlitlighet gynnar signaturer som är kvalificerade enligt eIDAS och förskjuter bevisbördan till undertecknarens fördel.

Förordning eIDAS nr 910/2014/EU

Denna förordning, som är direkt tillämplig i alla medlemsstater, fastställer det juridiska ramverket för förtroendetjänster. Artikel 26 definierar villkoren för avancerad elektronisk signatur; artikel 28 kraven på kvalificerade certifikat; bilaga I innehållet som är obligatoriskt för dessa certifikat. Kvalificerade PSCo åtnjuter en presumtion om överensstämmelse med förordningens tekniska och juridiska krav (artikel 19§2), vilket är en betydande fördel vid eventuella rättstvister.

Förordning eIDAS 2.0 — (EU) 2024/1183

Publicerad den 30 april 2024 introducerar denna ändringsförordning nya kategorier av förtroendetjänster (kvalificerade attributattestationer, kvalificerade arkiveringstjänster) och stärker tillsynsobligationerna. Den upphäver och ersätter delvis förordningen 910/2014, med progressiv tillämpning enligt Europeiska kommissionens genomförandebeslut.

RGPD — Förordning (EU) 2016/679

RGPD gäller för all behandling av personuppgifter som genomförts inom ramen för en elektronisk signeringstjänst. Artiklarna 5 (principer för lagliga), 6 (rättslig grund), 9 (känslig data), 13-14 (information), 28 (underbehandling), 32 (säkerhet), 33-34 (anmälan av överträdelse), 35 (konsekvensbedömning) och 37 (dataskyddschef) utgör de mest tillämpliga bestämmelserna. CNIL är den behörig tillsynsmyndighet i Frankrike och kan föreslå böter upp till 20 miljoner euro eller 4 % av årlig världsomsättning (artikel 83§5 RGPD).

NIS2-direktiv — (EU) 2022/2555

Genomförd i fransk lag genom lag nr 2023-703 från 1 augusti 2023 klassificerar NIS2 betydande PSCo bland viktiga eller väsentliga enheter som är föremål för obligationer för cybersäkerhetsstyrning och incidentanmälan till ANSSI inom 24 timmar (tidig varning) och sedan 72 timmar (fullständig anmälan).

ETSI-standarder

Samtliga standarder EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 och TS 119 431 utgör den obligatoriska tekniska referensen för kvalificeringsrevision. Deras icke-efterlevnad hindrar möjligheten att erhålla eller behålla kvalificerad status.

Juridiska risker vid icke-överensstämmelse

En icke-kompatibel leverantör utsätter sig för: radering från den franska TSL, engagemang av sitt kontraktuella och extrakonvertuella ansvar, administrativa sanktioner från CNIL, NIS2-böter som kan nå 10 miljoner euro eller 2 % av världsomsättningen för viktiga enheter och 20 miljoner eller 4 % av världsomsättningen för väsentliga enheter, såväl som rättsliga anspråk från kunder som har lidit skada på grund av juridiskt ogiltiga signaturer.

Användningsscenarier: hur företag verifierar PSCo:s överensstämmelse

Scenario 1 — En industriell koncern som hanterar 3 000 leverantörskontrakt per år

En medelstor industriell koncern (ETI) inom tillverkning av mekanisk utrustning digitalisererar alla sina leverantörskontrakt via en SaaS-plattform för elektronisk signering. Vid en intern revision som utlöstes efter en regeländring konstaterar juridiska avdelningen att den valda leverantören — ursprungligen vald på prisbasis — varken är registrerad på den franska TSL:en eller på någon europeisk TSL. De utfärdade signaturerna är av enkel typ utan robust mekanisn för undertecknaridentifiering.

Inför juridisk risk — alla undertecknade kontrakt kan få sitt bevisvärde ifrågasatt vid tvister — initierar företaget en migration till en ANSSI-kvalificerad PSCo. Den nya lösningen innehåller en avancerad signatur med kvalificerat certifikat, en kvalificerad tidsstämpel och ett exporterbart granskningsspår. Migrationsprojektet, genomfört på mindre än 8 veckor, möjliggör retrospektiv säkring av nya handlingar och etablering av en överensstämmande dokumentpolicy. Juridiska lag uppskattar att riskerna för strid kring gamla kontrakt är marginell på grund av deras friktionsfria genomförande, men varje ny signatur är nu täckt.

Observerade vinster: 60 % minskning i potentiell tvist relaterad till autenticiteten hos signaturer och en genomsnittlig tidsbesparing på 3,5 dagar på signering för komplexa kontrakt tack vare automationen av valideringsflödet.

Scenario 2 — En advokatbyrå med 25 medarbetare specialiserad på affärsrätt

En advokatbyrå som vill digitalisera signeringen av fullmakter, rådgivningar och rättegångsakten utvärderar flera leverantörer. Dess analysgrid omfattar följande kriterier: närvaro på TSL:en, publicering av en tillgänglig PC/DPC, existensen av ett RGPD-kompatibelt DPA, tillgängligheten av en joignable dataskyddschef och certifiering av fjärr-QSCD.

Bland fem utvärderade leverantörer uppfyller endast två alla kriterier. Byråns valet faller slutligen på en PSCo som erbjuder nativt en kvalificerad signatur via fjärr-QSCD, som garanterar presumtionen om tillförlitlighet enligt artikel 1367 i den franska civila koden. Implementeringen tar 3 veckor, inklusive utbildning. Resultat: 75 % av fullmakterna undertecknas nu på mindre än 24 timmar mot tidigare 5 till 7 dagar (postbeställningar), och byråan kan för sina kunder motivera den juridiska säkerhetsnivå som lösningen erbjuder — ett differentierande argument i dess kommersiella erbjudanden.

Scenario 3 — Ett sjukhussammanslutning på cirka 1 200 sängar

En offentlig sjukhussammanslutning vill digitalisera anställningskontrakt, pratikstuderandeavtal och samverkansavtal med partneroch sjukvårdsenheter. Känsligheten för behandlade data (sjukvårdsdata för sjukvårdspersonal, personaldata) kräver särskild uppmärksamhet på PSCo:s RGPD-obligationer.

DSI och sjukhusgruppens dataskyddschef kräver: datahemstäder i Frankrike hos en certifierad hälsodataleverantör (HDS — Hébergeur de Données de Santé, certifiering enligt artikel L.1111-8 i den franska hälsokoden), ingen överföring utanför EES, dokumenterad konsekvensbedömning för behandling av undertecknares identifiering och undertecknat DPA innan operativ körning.

Efter val av en PSCo som uppfyller dessa kriterier, inkluderar implementeringen i första hand HR-kontrakt (cirka 800 handlingar per år). Den genomsnittliga underteckningstiden för tidsbegränsade kontrakt minskar från 9 dagar till mindre än 48 timmar, vilket frigör betydande kapacitet för personalavdelningen. Enheten har dessutom fullständig spårbarhet av insamlade medgivanden, som granskas årligen av dess dataskyddschef.

Avslutning

De juridiska obligationer som påverkar elektroniska signeringsprestatörer i Frankrike utgör en krävande normen: eIDAS-kvalificering, RGPD-överensstämmelse, respekt för ETSI-standarder, NIS2-obligationer och omedelbar anpassning till eIDAS 2.0. För användarföretag är det att säkerställa sin PSCo:s överensstämmelse inte ett valfritt förfarande — det är ett villkor sine qua non för undertecknade handlingars bevisvärde och skydd av undertecknares personuppgifter.

Certyneo är en elektronisk signeringsprestatör utformad för att uppfylla alla dessa krav: eIDAS-överensstämmelse, RGPD by design, suveränt värdskap och dokumenterad eIDAS 2.0-roadmap. Redo att säkra dina signaturer i fullständig överensstämmelse? Begär en demonstration eller skapa ditt konto på Certyneo och få personlig vägledning från dag ett.