Fransa'da Elektronik İmza Sağlayıcısının Yükümlülükleri

Giriş

Fransa'da bir elektronik imza çözümü dağıtmak即席bir iş değildir. Her nitelikli veya gelişmiş imzanın arkasında, güven hizmetleri sağlayıcısının (PSCo) yükümlü olduğu onlarca yasal yükümlülük gizlidir. eIDAS Yönetmeliği, RGPD, genel güvenlik referansı, ETSI standartları... düzenleyici çerçeve hem yoğun hem de gelişkendir. Kullanıcı işletmeler için, Fransa eIDAS RGPD elektronik imza sağlayıcısı yasal yükümlülüklerini anlamak, uyumlu bir ortak seçmek ve yasal riski önlemek açısından vazgeçilmezdir. Bu makale, bölüm bölüm, Fransız topraklarında faaliyet gösteren PSCo'lara uygulanabilir tüm gereksinimleri detaylandırmaktadır.

---

Nitelikli Güven Hizmetleri Sağlayıcısının Statüsü

eIDAS Anlamında Bir PSCo Nedir?

910/2014 eIDAS Yönetmeliği iki tür sağlayıcıyı ayırt eder: niteliksiz güven hizmetleri sağlayıcıları ve nitelikli sağlayıcılar (PSCQ). Birinciler, zorunlu üçüncü taraf denetimi olmaksızın basit veya gelişmiş elektronik imza hizmetleri sunabilirler. İkinciler — eIDAS'ın 3(15) maddesinde tanımlanan nitelikli imzaları sunmaya yetkili olan tek kişiler — önemli ölçüde daha katı gereksinimleri karşılamalıdır.

Fransa'da, eIDAS'ın 17. maddesi tarafından öngörülen denetim otoritesi rolünü Ulusal Bilgi Sistemleri Güvenlik Ajansı (ANSSI) yerine getirir. ANSSI, nitelikli sağlayıcıları ve bunların hizmetlerini listeleyen Fransız güven listesini (TSL — Trust Service List) yayınlar ve resmi web sitesinde erişilebilir hale getirir.

Niteliklendirilme Prosedürü: Denetim ve Uyumluluk

Nitelikli statü elde etmek için, bir PSCo'nun mutlaka:

• Hizmetlerinin COFRAC tarafından EN ISO/IEC 17065 normu uyarınca akredite edilen bir uyum değerlendirme kuruluşu (CAB — Conformity Assessment Body) tarafından denetlenmesi gerekir.

• Denetim raporunu ANSSI'ye sunması, bu durum nitelikli statü verilip verilmeyeceğine karar verir. Bu statü en az 24 ayda bir yeniden değerlendirilir (eIDAS 20§1).

• Önceden planlanmış değişikliğin 3 ay öncesinde ANSSI'yi hizmetlerindeki herhangi bir önemli değişiklik hakkında bilgilendirmelidir (eIDAS 21).

Bu adımlara uyulmaması, sağlayıcının TSL'den çıkarılması ve nitelikli imzaya bağlı yasal varsayımların kaybedilmesine maruz kalması anlamına gelir. Müşteri şirketler için, TSL'de listelenmemiş bir PSCo'yu kullanmak, güvenilirliğin yasal varsayımından hiç yararlanmamak anlamına gelir.

> İmzanın farklı seviyeleri ve yasal etkileri hakkında daha fazla bilgi için, rehberimizi inceleyin.

---

PSCo'lara İmpoze Edilen Teknik ve Güvenlik Yükümlülükleri

ETSI Standartlarına Uyum

Nitelikli sağlayıcılar, Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından yayımlanan bir dizi Avrupa normuna uymalıdır. Başlıcaları şunlardır:

• ETSI EN 319 401: Tüm PSCo'lara uygulanabilir genel güvenlik gereksinimleri.

• ETSI EN 319 411-1 ve 411-2: Nitelikli imza sertifikaları veren sertifika otoriteleri tarafından izlenen politikalar ve uygulamalar.

• ETSI EN 319 132: Gelişmiş elektronik imza biçimleri (XML için XAdES, PDF için PAdES, CMS için CAdES).

• ETSI EN 319 122: Nitelikli imzalar için CAdES biçimi.

• ETSI TS 119 431: Uzaktan imza oluşturma hizmetleri (QSCD uzaktan) için gereksinimler.

Bu standartlar isteğe bağlı değildir: eIDAS Yönetmeliği (Ek II, III ve IV), nitelikli sertifikaların ve imza oluşturma cihazlarının minimum gereksinimlerini tanımlamak için açıkça bunlara atıfta bulunur.

Nitelikli İmza Oluşturma Cihazlarının (QSCD) Yönetimi

Nitelikli imzanın temellerinden biri, eIDAS'ın Ek II'sine uyumlu nitelikli imza oluşturma cihazının (QSCD) kullanılmasıdır. Sağlayıcı şunları garanti etmelidir:

• İmzalayanın özel anahtarı QSCD dışında oluşturulamaz, depolanmaz veya kopyalanamaz.

• Anahtar oluşturma yalnızca sertifikalı bir ortamda gerçekleşir (Common Criteria EAL 4+ sertifikası veya eşdeğeri).

• İmzalamadan önce imzalayanın kimlik doğrulaması en az iki faktörlü kimlik doğrulama üzerinde dayanır.

Uzaktan imza bağlamında — giderek daha fazla SaaS ortamlarında yaygınlaşan — bu gereksinimler, anahtarları barındıran HSM (Hardware Security Module) sunucusuna uygulanır. ANSSI, sağlanması gereken güvenlik kriterlerini tanımlayan özel koruma profilleri (PP-0075, PP-0076) yayınlamıştır.

İş Sürekliliği ve Olay Bildirimi Politikası

eIDAS'ın 19. maddesi, her güven hizmetleri sağlayıcısını (nitelikli veya niteliksiz) şunları yapmaya zorunlu kılar:

• Güvenlik ihlaline dönüştüğü tespit edildikten sonra 24 saat içinde denetim otoritesine (ANSSI) ve uygun şekilde veri koruma otoritesine (CNIL) hizmetin güvenilirliğini etkileyebilecek bir ihlali bildirmek.

• Düzenli olarak test edilen belgelenmiş bir iş sürekliliği planına sahip olmak.

• Riskler, olay yönetimi ve yedekleme politikası da dahil olmak üzere formalleştirilmiş bir bilgi güvenliği politikasına sahip olmak.

Bu gereksinimler, siber güvenlik yükümlülüklerini artırılan NIS2 Direktifi (2022/2555/UE) ile kısmen çakışır; bu direktif, 1 Ağustos 2023 tarihli 2023-703 numaralı kanun tarafından Fransız hukukuna aktarılmış ve önemli veya temel kuruluşlar arasında sınıflandırılan önemli boyuttaki PSCo'ları yerleştirir.

> Belgesel iş akışlarına bu kısıtlamaları nasıl entegre etmesi gerektiğini keşfedin.

---

PSCo'lara Özgü RGPD Yükümlülükleri

PSCo, Veri Sorumlusu veya Veri İşleyici midir?

Sağlayıcının RGPD niteliği, sunulan hizmetin niteliğine bağlıdır:

• PSCo imzalayanın adına nitelikli sertifikalar ve kişisel verilerin işlenmesinin amaçlarını doğrudan belirlediğinde (kimlik, kimlik doğrulama biyometrik verileri), RGPD'nin 4(7) maddesi anlamında veri sorumlusu olarak hareket eder.

• Kendi API'sini bir B2B müşterisinin platformuna entegre ettiğinde ve kişisel verileri yalnızca bu müşterinin talimatlarına göre işlediğinde, RGPD 4(8) maddesi anlamında veri işleyici niteliğini taşır ve zorunlu olarak eIDAS 28 maddesine uyumlu bir DPA (Veri İşleme Anlaşması) imzalamalıdır.

Uygulamada, çoğu SaaS PSCo'su her iki niteliği de birleştirir: kendi sertifikasyon altyapısının yönetimi için sorumlu, imzalayanların belgeler ve meta verilerini işlemek için işleyici.

Biyometrik ve Kimlik Verilerine İlişkin Özel Yükümlülükler

İmzalayanın kimlik doğrulaması ve kimlik tasdiki — nitelikli sertifika deliferi için zorunlu adım — genellikle hassas verilerin işlenmesini gerektirir: kimlik belgesi taraması, video selfie, yüz tanıma biyometrik verileri. Bu veriler RGPD'ye tabi kişisel veriler oluşturur; hatta RGPD 9. maddesine (özel kategoriler) düşen biyometrik veriler.

PSCo'nun yükümlülükleri:

• Yasal dayanak: açık onay (9§2a) veya bazı durumlarda yasal yükümlülük (9§2b) biyometrik verilerin işlenmesi için.

• Konservasyon süresi sınırlı: CNIL yönergelerine göre, kimlik doğrulama verileri kesinlikle gerekli olan süre boyunca, genellikle sertifikasının geçerlilik süresi + yasal kanıt süresi hizalanmış (genellikle özel hukuk işlemleri için 10 yıl, Medeni Kanun 2224 maddesi).

• İş getirisi analizi zorunlu (RGPD 35) işlem yüksek riski doğuracak kadar önemli olması durumunda — bu sistematik olarak biyometri için durumdur.

• İşlenme sicili (RGPD 30) güncel tutulmuş ve her işleme kategorisini belgeleyen.

Uluslararası Veri Transferleri

Birçok PSCo altyapısının tümünü veya bölümünü Avrupa Ekonomik Alanı (AEA) dışında barındırmaktadır. Bu durumda, RGPD V. Bölümü tarafından talep edilen uygun garantiler geçerli olur: adekvatlik kararı, Avrupa Komisyonu'nun standart sözleşme maddeleri (SCC'ler) veya kısıtlayıcı işletme kuralları (BCR). Schrems II kararı (CJEU, C-311/18, 16 Temmuz 2020) Amerika Birleşik Devletleri'ne yapılan transferlerin önceden ülke risk analizi gerektirdiğini hatırlattı.

> Bu kuralların organizasyonunuza etkisini anlamak için, rehberimizi inceleyin.

---

Kullanıcılara Karşı Şeffaflık ve Bilgi Yükümlülükleri

Sertifikasyon Politikası (PC) ve Sertifikasyon Uygulamalar Beyanı (DPC)

Sertifika veren her PSCo, ETSI EN 319 411 normuna uyumlu bir Sertifikasyon Politikası (PC) ve Sertifikasyon Uygulamalar Beyanı (DPC) yayınlamakla yükümlüdür. Bunlar herkese açık belgeler şunları detaylandırır:

• İmzalayanların kimlik doğrulama ve kayıt prosedürleri.

• Dağıtılan fiziksel ve mantıksal güvenlik önlemleri.

• Sertifika iptalinin koşulları ve ilişkili gecikmeler.

• PSCo'nun sorumlulukları ve garanti sınırlamaları.

Bu belgelerin yokluğu veya eksikliği, akredite kuruluş tarafından yapılan yeniden niteliklendirilme denetiminde tespit edilebilecek uyum sorunudur.

Müşterilere Karşı Kontrat Öncesi ve Sözleşmesel Bilgilendirme

Tamamen teknik yükümlülüklerin ötesinde, RGPD 13. maddesi PSCo'yu verileri toplanan her kişiye aşağıdakılarda açık ve erişilebilir bilgi sunmaya zorunlu kılar:

• Veri sorumlusunun kimliği ve DPO'nun (geniş ölçekte hassas verileri işleyen PSCo'lar için zorunlu, RGPD 37) iletişim bilgileri.

• Her işlemenin amaçları ve yasal temelleri.

• Kişilerin hakları (erişim, düzeltme, silme, taşınabilirlik, itiraz).

• Verilerin olası alıcıları (veri işleyiciler, otoriteler).

Bu bilgiler, hizmetin gizlilik politikasında, genel kullanım koşullarında ve uygun şekilde profesyonel müşteriler ile yapılan DPA'da yer almalıdır.

Nitelikli Zaman Damgası ve Denetim İzi

İmzaların uzun süreli kanıt değerini garantilemek için, ciddiye alınmış PSCo'lar sistematik olarak her imzalı işlemine nitelikli elektronik zaman damgası (eIDAS 42 maddesi) eklerler. Bu zaman damgası, belirtilen tarihte verinin varlığının yasal olarak varsayılan bir kanıtıdır. Denetim izinin (kimlik doğrulama günlükleri, belge parmak izi, imza verileri) korunması, sonraki herhangi bir yargısal doğrulama türetmesini sağlamak için fiili bir yükümlülüktür.

> Pazardaki çözümleri bu kriterlere göre karşılaştırın.

---

eIDAS 2.0: 2026-2027'de Ortaya Çıkacak Yeni Yükümlülükler

(UE) 2024/1183 eIDAS 2.0 Yönetmeliği

30 Nisan 2024'te AB Resmi Gazetesi'nde yayınlanan (UE) 2024/1183 yönetmeliği "eIDAS 2.0" olarak adlandırılan, PSCo'lara üç eksen etrafında yükümlülükleri önemli ölçüde artırır:

• Avrupa Dijital Kimlik Cüzdanı (EUDI Wallet): Üye devletler 2 Kasım 2026'ya kadar sertifikalı dijital kimlik cüzdanı sağlamalıdır. PSCo'lar, eIDAS 2.0 kimliği aracılığıyla nitelikli imzalar sunmak için bu cüzdanla entegre olmalıdır.

• Öznitelik Attestions Yönetimi: eIDAS 2.0, nitelikli öznitelik attestions (QEAAs) sunar; bunlar nitelikli attestation sağlayıcıları tarafından verilir. Yeni denetim ve niteliklendirilme prosedürleri uygulanacaktır.

• Denetimi Güçlendirme: Ulusal denetim otoriteleri (Fransa için ANSSI), özellikle haberinden haber verilmeksizin denetimler yapma ve kısa süreler içinde zorlayıcı düzeltici önlemler alma kapasitesi dahil, gücü genişletilir.

Mevcut Sağlayıcılar için Pratik Etkileri

Zaten eIDAS 1.0 altında nitelikli olan PSCo'lar, Komisyon tarafından belirlenen son tarihlerden önce yılmış şekilde uyumlu hale gelmelidir (yayınlanmış veya yayınlanma sürecinde olan yürütme eylemleri). Ana uyarlamalar:

• Kimlik doğrulama altyapısının EUDI Wallet'ı kimlik doğrulama aracı olarak desteklemek için yeniden tasarlanması.

• PC/DPC'nin yeni sertifika ve attestation tipolojilerini entegre etmek için güncelleştirilmesi.

• Uzak QSCD'lerin güvenlik gereksinimlerinin güçlendirilmesi; yeni koruma profilleri yolda.

Müşteri işletmeler için bu, sağlayıcılarının belgelenen ve doğrulanabilir bir eIDAS 2.0 uyumluluk yol haritasına sahip olduğundan emin olmak anlamına gelir.

Fransa'da Elektronik İmza Sağlayıcılarının Yükümlülükleri için Uygulanabilir Yasal Çerçeve

Fransa'da faaliyet gösteren elektronik imza sağlayıcılarına uygulanabilir normatif zincir, tamamlayıcı birkaç hiyerarşik seviye üzerinde yapılandırılır.

Fransız Medeni Kanunu — Maddeler 1366 ve 1367

Medeni Kanun'un 1366. maddesi elektronik yazılı belgelerini "kimin tarafından gönderildiğini düzgün bir şekilde tanımlanabilen ve bütünlüğünü garantileme niteliğinde koşullar altında kurulmuş ve korunmuş" olması koşuluyla yazılı belgelerle eşdeğer kanıt aracı olarak tanır. Madde 1367, elektronik imzanın "imzanın bağlı olduğu işlemle bağlantısını garantileyen güvenilir bir kimlik doğrulama yöntemi kullanımından oluştuğunu" belirtir. Nitelikli imzalar lehine tanınan güvenilirlik varsayımı, imzalayanın lehine ispat yükünü tersine çevirir.

(UE) 910/2014 eIDAS Yönetmeliği

Bu yönetmelik tüm üye devletlerde doğrudan uygulanır ve güven hizmetlerinin yasal çerçevesini kurar. 26. maddesi gelişmiş elektronik imzasının koşullarını tanımlar; 28. maddesi nitelikli sertifikaların gereksinimlerini tanımlar; Ek I bunların zorunlu içeriğini detaylandırır. Nitelikli PSCo'lar, yönetmeliğin teknik ve yasal gereksinimlerine uyumluluğu varsayan (19§2 madde), anlaşmazlık durumunda imzalayanın lehine olan bir avantaj sağlar.

eIDAS 2.0 Yönetmeliği — (UE) 2024/1183

30 Nisan 2024'te yayınlanan bu değişiklik yönetmeliği yeni güven hizmetleri kategorileri (nitelikli öznitelik attestations, nitelikli arşivleme hizmetleri) sunar ve denetim yükümlülüklerini artırır. Yönetmelik 910/2014'ü kısmen yürürlükten kaldırır ve değiştirir; uygulanabilirlik Avrupa Komisyonu'nun yürütme eylemine göre ilerler.

RGPD — Yönetmelik (AB) 2016/679

RGPD elektronik imza hizmeti çerçevesinde gerçekleştirilen tüm kişisel veri işlemelerine uygulanır. 5 (yasallık ilkeleri), 6 (yasal dayanak), 9 (hassas veriler), 13-14 (bilgilendirme), 28 (veri işleme), 32 (güvenlik), 33-34 (ihlalin bildirilmesi), 35 (AIPD) ve 37 (DPO) maddeleri en sıklıkla uygulanabilir hükümler oluşturur. CNIL Fransa'da yetkili denetim otoritesidir ve 20 milyon avro veya yıllık küresel çevrimdışı düz %4 oranında (RGPD 83§5) para cezaları verebilir.

NIS2 Direktifi — (AB) 2022/2555

1 Ağustos 2023'te 2023-703 sayılı kanun tarafından Fransız hukukuna aktarılan NIS2, önemli veya temel kuruluşlar arasında önemli PSCo'ları yerleştirir; bunlar siber risk yönetimi ve ANSSI'ye 24 saat içinde (uyarı) ve 72 saat içinde (tam bildirim) olay bildirim yükümlülükleri ile karşı karşıyadır.

ETSI Standartları

EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ve TS 119 431 standartlarının tümü niteliklendirilme denetimi için zorunlu teknik referansı oluşturur. Bunlara uyulmaması nitelikli statü elde etmeyi veya korudu imkansızlaştırır.

Uyum Sağlamama Durumundaki Yasal Riskler

Uyumsuz bir sağlayıcı şu risklerle karşı karşıya kalır: Fransız TSL'den çıkarılma, sözleşmesel ve hukuki sorumluluğun tesis edilmesi, CNIL idari yaptırımları, 10 milyon avro veya küresel CA'nın %2'sini veya önemli kuruluşlar için 20 milyon avro veya %4'ünü ulaşabilen NIS2 para cezaları (temel kuruluşlar için), ve geçersiz imzalardan dolayı zarar gören müşterilerin yasal takibi.

Kullanım Senaryoları: Şirketler PSCo'larının Uyumluluğunu Nasıl Doğrular

Senaryo 1 — Yıllık 3 000 Sağlayıcı Sözleşmesini Yöneten Endüstriyel Bir Grup

Mekanik ekipman üretiminde aktif olan orta ölçekli bir endüstriyel grup (ETI), tüm sağlayıcı sözleşmelerini SaaS elektronik imza platformu aracılığıyla demateryalleştirmektedir. Düzenleyici bir gelişme sonrasında tetiklenen iç denetim sırasında, hukuk müdürlüğü seçilen sağlayıcının — başlangıçta fiyat kriteri temelinde seçilen — Fransız TSL'de veya herhangi bir Avrupa TSL'de listelenmediğini tespit eder. Sunulan imzalar, imzalayanın sağlam kimlik doğrulamadan yoksun "basit" türdendir.

Yasal riskle karşı karşıya — tüm imzalı sözleşmelerin kanıt değeri uyuşmazlık durumunda test edilebilir — şirket nitelikli ANSSI PSCo'suna geçiş başlatır. Yeni çözüm gelişmiş imzayı nitelikli sertifika, nitelikli zaman damgası ve dışa aktarılabilir denetim iziyle entegre eder. 8 haftadan daha kısa sürede yürütülen geçiş, yeni işlemleri rétroaktif olarak güvenli hale getirilmesini ve uyumlu bir belge politikasının kurulmasını sağlar. Hukuk takımları, eski sözleşmelerle ilişkili uyuşmazlık riskinin, sözleşmelerin itirazsız yerine getirilmesi nedeniyle marjinal kaldığını, ancak tüm yeni imzaların artık korunduğunu tahmin eder.

Gözlemlenen Kazançlar: İmza kaynağıyla ilgili olası uyuşmazlıklar %60 azaldı ve sözleşmeyi kabul etme sürecinin otomasyonu sayesinde karmaşık sözleşmelerde ortalama 3,5 günlük zaman kazanımı sağlandı.

Senaryo 2 — 25 İş Hukuku Uzmanı Avukat

Temsil müzakereleri, danışmanlıklar ve işlem belgeleri imzasını demateryalleştirmek isteyen bir hukuk bürosu birkaç sağlayıcıyı değerlendirir. Analiz ızgarası aşağıdaki kriterleri içerir: TSL'de mevcudiyet, herkese açık PC/DPC yayını, RGPD uyumlu DPA'nın varlığı, erişilebilir DPO mevcudiyeti ve QSCD uzak sertifikasyonu.

Değerlendirilen beş sağlayıcı arasında sadece iki tüm kriterleri karşılar. Büro sonunda QSCD uzak yöntemiyle nitelikli imzayı yerel olarak sunan bir PSCo seçer, Medeni Kanun 1367. maddesinin güvenilirlik varsayımını sağlayarak. Kurulum 3 hafta sürer; eğitim dahil. Sonuç: %75 temsil sözleşmesi artık 24 saatten daha kısa sürede imzalanır; daha önce 5 ila 7 gündü (posta gönderimi), ve büro hukuk müşterilerine sunulan çözümün sunduğu yasal güvenlik seviyesini gerekçelendirebilir — ticari tekliflerinde ayırıcı bir argüman.

Senaryo 3 — Yaklaşık 1 200 Yataklı Hastane Gruplaması

Çalışan işlemleri, stajyer anlaşmaları ve tıbbi bakım tesisleriyle ortaklık anlaşmalarını demateryalleştirmek isteyen bir kamu hastanesi gruplaması. İşlenen verilerin hassasiyeti (sağlık hizmeti personelinin sağlık verileri, insan kaynakları verileri) PSCo'nun RGPD yükümlülükleri üzerinde özel dikkat gerektirir.

Kurumun BT ve DPO müdürü şunları talep eder: Fransa'da sağlık verilerine sahip sertifikalı bir barındırıcıya (HDS — Sağlık Verileri Barındırıcısı, Sağlık Kanunu L.1111-8 maddesi tarafından öngörülen sertifikasyon) barındırılan veriler, AEA dışında aktarımlar yok, işleme için belgelenmiş AIPD müşterileşen imzalayanlar ve üretim öncesi imzalanan DPA.

Bu kriterleri karşılayan bir PSCo'nun seçim yapıldıktan sonra, dağıtım ilk olarak insan kaynakları sözleşmelerini (yıllık yakla