Elektronik İmza Sağlayıcısının Yükümlülükleri Fransa
eIDAS Yeterliliği, RGPD Uygunluğu, ANSSI Gereksinimleri: Elektronik imza sağlayıcıları zorlu bir yasal çerçeveyle karşı karşıyadır. Uyulması gereken tüm yükümlülükleri keşfedin.
Certyneo Takımı
Editör — Certyneo · Certyneo Hakkında
Giriş
Fransa'da elektronik imza çözümü uygulamak doğa即即kalanmaz. Her nitelikli veya ileri imza arkasında, güven hizmetleri sağlayıcısı (PSCo) üzerine düşen onlarca yasal yükümlülük gizlidir. eIDAS Yönetmeliği, RGPD, genel güvenlik referansı, ETSI standartları… yasal çerçeve hem yoğun hem de gelişkendir. Kullanıcı şirketler için, Fransa eIDAS RGPD'de elektronik imza sağlayıcısı yasal yükümlülüklerini anlamak, uyumlu bir ortak seçmek ve herhangi bir yasal riski önlemek için vazgeçilmezdir. Bu makale, bölüm bölüm, Fransız topraklarında faaliyet gösteren PSCo'lar için geçerli olan tüm gereksinimleri detaylandırmaktadır.
---
Nitelikli Güven Hizmetleri Sağlayıcısı Statüsü
eIDAS Anlamında PSCo Nedir?
(EU) 910/2014 eIDAS Yönetmeliği iki sağlayıcı kategorisini ayırt eder: nitelikli olmayan güven hizmetleri sağlayıcıları ve nitelikli sağlayıcılar (PSCQ). İlkiler, üçüncü taraf tarafından yapılan zorunlu denetim olmaksızın basit veya ileri elektronik imza hizmetleri sunabilirler. İkinciler — yalnızca eIDAS'ın 3(15) maddesinde belirtilen nitelikli imzalar vermeye yetkili olanlar — önemli ölçüde daha katı gereksinimleri karşılamalıdırlar.
Fransa'da, Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI), eIDAS'ın 17. maddesi tarafından öngörülen denetim yetkilisi ("Supervisory Body") rolünü üstlenir. eIDAS tarafından sağlanan ve nitelikli sağlayıcılar ile hizmetlerini listeleyen Fransa güven listesini (TSL — Trust Service List) yayınlar ve sürdürür.
Yeterlilik Prosedürü: Denetim ve Uygunluk
Nitelikli statü elde etmek için bir PSCo'nun zorunlu olarak:
- Hizmetlerinin denetlenmesi COFRAC tarafından EN ISO/IEC 17065 standardına göre akredite edilmiş bir uygunluk değerlendirme organı (CAB — Conformity Assessment Body) tarafından.
- Denetim raporunun ANSSI'ye sunulması, nitelikli statünün verilmesine karar verir. Bu statü en az her 24 ayda bir yeniden değerlendirilir (eIDAS 20§1).
- ANSSI'ye bildirim yapılmalıdır, hizmetlerinde herhangi bir önemli değişiklik planlı değişiklikten 3 ay önce (eIDAS 21. madde).
Bu adımlara uymamanın sonucu, sağlayıcının TSL'den çıkarılması ve nitelikli imzaya bağlı yasal varsayımlardan yoksun kalmasıdır. Müşteri şirketler için, TSL'de listelenmeyen bir PSCo'ya başvurmak, güvenilirliğin yasal varsayımından yoksun olmak anlamına gelir.
> eIDAS 2.0 Yönetmeliğinin farklı imza seviyeleri ve bunların yasal etkileri hakkında daha fazla bilgi için eIDAS yönetmeliğinin tam kılavuzunu konsult edin.
---
PSCo'lara İmposed Edilen Teknik ve Güvenlik Yükümlülükleri
ETSI Standartlarına Uygunluk
Nitelikli sağlayıcılar, Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI) tarafından yayınlanan bir dizi Avrupa standardına uymalıdır. Ana olanlar:
- ETSI EN 319 401: tüm PSCo'lar için geçerli olan genel güvenlik gereksinimleri.
- ETSI EN 319 411-1 ve 411-2: nitelikli imza sertifikaları veren sertifika otoritelerinin politikaları ve uygulamaları.
- ETSI EN 319 132: ileri elektronik imza biçimleri (XML için XAdES, PDF için PAdES, CMS için CAdES).
- ETSI EN 319 122: nitelikli imzalar için CAdES formatı.
- ETSI TS 119 431: uzak imza oluşturma hizmetleri gereksinimleri (uzak QSCD).
Bu standartlar isteğe bağlı değildir: eIDAS Yönetmeliği (Ek II, III ve IV) nitelikli sertifikaların ve imza oluşturma cihazlarının asgari gerekliliklerini tanımlamak için açıkça bunlara atıfta bulunur.
Nitelikli İmza Oluşturma Cihazlarının (QSCD) Yönetimi
Nitelikli imzanın temellerinden biri, eIDAS Ek II'ye uygun bir nitelikli imza oluşturma cihazı (QSCD — Qualified Signature Creation Device) kullanılmasıdır. Sağlayıcı şunları garantilemelidir:
- İmzalayanın özel anahtarı, QSCD dışında oluşturulamaz, depolanamaz veya kopyalanamaz.
- Anahtarın oluşturulması yalnızca sertifikalı bir ortamda (Common Criteria EAL 4+ sertifikası veya eşdeğeri) yapılır.
- İmzalayan kimlik doğrulaması herhangi bir imza eyleminden önce en az iki kimlik doğrulama faktörüne dayanır.
Uzak imza bağlamında — SaaS ortamlarında giderek daha yaygın — bu gereklilikler, anahtarları barındıran HSM (Hardware Security Module) sunucusu için geçerlidir. ANSSI, belirli güvenlik kriterlerini tanımlayan özel koruma profilleri yayınlamıştır (PP-0075, PP-0076).
İşletme Sürekliliği ve Olay Bildirimi Politikası
eIDAS'ın 19. maddesi, tüm güven hizmetleri sağlayıcılarına (nitelikli veya niteliksiz) şunları yapması zorunluluğunu getiriyor:
- Denetim yetkilisine (ANSSI) ve gerekliğinde veri koruma yetkilisine (CNIL) bildirim yapılmalıdır, hizmetin güvenilirliğini etkileyebilecek bir güvenlik ihlalinin tespit edilmesini takip eden 24 saat içinde.
- Düzenli olarak test edilen işletme sürekliliği planı belgelenmesi.
- Bilgi güvenliği politikası olması, özellikle risk yönetimi, olay yönetimi ve yedekleme politikasını kapsayan.
Bu gereklilikler, PSCo'ları önemli veya temel varlıklar olarak sınıflandıran ve iyileştirilmiş siber güvenlik yükümlülüklerine tabi olan NIS2 yönergesi (2022/2555/UE) ile kısmen örtüşmektedir; bu, 1 Ağustos 2023 tarih ve 2023-703 sayılı kanunla Fransız hukukuna aktarılmıştır.
> Yasal tüm bu kısıtlamaları iş akışlarında nasıl entegre etmesi gerektiğini hukuk büroları için elektronik imza hakkında keşfedin.
---
PSCo'lara Özgü RGPD Yükümlülükleri
PSCo, Veri Denetleyicisi mi Veri İşleyicisi mi?
Sağlayıcının RGPD nitelemesi, sağlanan hizmetin doğasına bağlıdır:
- PSCo nitelikli sertifikaları doğrudan imzalamayan adına sunduğunda ve kişisel veri işlemenin amaçlarını belirler (kimlik, kimlik doğrulama biyometrik verileri), veri denetleyicisi olarak görev yapar (RGPD 4(7)).
- Hizmetini B2B istemcisinin platformuna entegre ettiğinde ve kişisel verileri yalnızca istemcinin talimatlarına göre işlediğinde, veri işleyicisi niteliğini alır (RGPD 4(8)) ve zorunlu olarak RGPD 28'e uygun bir DPA (Veri İşleme Anlaşması) imzalamalıdır.
Uygulamada, çoğu SaaS PSCo'su her iki niteliği birleştirir: sertifika altyapısını yönetmek için denetleyici, imzalayanların belgeleri ve meta verilerini işlemek için işleyici.
Biyometrik ve Kimlik Verilerine İlişkin Spesifik Yükümlülükler
İmzalayanın tanımlanması ve kimlik doğrulanması — nitelikli sertifika verme için zorunlu adım — genellikle hassas veri işlemesini içerir: kimlik belgesi taraması, selfie videosu, yüz tanıma biyometrik verileri. Bu veriler RGPD'ye tabi olan kişisel veriler oluşturur ve hatta RGPD'nin 9. maddesidir (özel kategoriler).
PSCo'nun yükümlülükleri şunları içerir:
- Yasal dayanak: açık rıza (RGPD 9§2a) veya bazı durumlarda yasal yükümlülük (RGPD 9§2b) biyometrik veri işlemesi için.
- Sınırlı saklama süresi: CNIL kılavuzlarına göre, tanımlama verileri gerekli olduğu kadar muhafaza edilmelidir, genellikle sertifika geçerlilik süresi + kanuni ispat süresi hizalanmış (genellikle özel senet için 10 yıl, Code civil 2224).
- Etki Değerlendirmesi (AIPD) zorunluluğu (RGPD 35) işlemin yüksek risk taşıyabileceği her zaman — biyometri için sistematiktir.
- İşlem Sicili (RGPD 30) güncellemesi ve her işlem kategorisini belgeleyen.
Uluslararası Veri Transferleri
Çoğu PSCo, altyapısının tamamını veya bir kısmını Avrupa Ekonomik Alanı (AEA) dışında barındırır. Bu durumda, RGPD Bölüm V tarafından istenen uygun garantiler uygulanır: Adekvatlık kararı, Avrupa Komisyonunun standart sözleşme maddeleri (SCC'ler) veya zorunlu şirket kuralları (BCR). Schrems II kararı (CJEU, C-311/18, 16 Temmuz 2020), ABD'ye yapılan transferlerin önceden bir ülke riski analizi gerektirdiğini hatırlatmıştır.
> Bu kuralların kuruluşunuz üzerindeki etkisini anlamak için kuruluşta elektronik imza kılavuzunu konsult edin.
---
Kullanıcılara Karşı Şeffaflık ve Bilgi Yükümlülükleri
Sertifika Politikası (PC) ve Sertifika Uygulaması Bildirimi (DPC)
Sertifika veren tüm PSCo'lar, ETSI EN 319 411 standardına uygun olarak bir Sertifika Politikası (PC) ve bir Sertifika Uygulaması Bildirimi (DPC) yayınlamak zorunludur. Bu belgeler, herkese açık, şunları detaylandırır:
- İmzalayanları tanıma ve kayıt prosedürleri.
- Uygulanmış fiziksel ve mantıksal güvenlik önlemleri.
- Sertifika iptal koşulları ve ilgili gecikmeler.
- PSCo'nun sorumlulukları ve garanti sınırlamaları.
Bu belgelerin olmaması veya eksik olması, akredite organizma tarafından yeterlilik denetiminde tespit edilebilecek bir uyumluluğun olmamasıdır.
İstemcilere Ön Sözleşme ve Sözleşmeli Bilgi
Tamamen teknik yükümlülüklere ek olarak, RGPD'nin 13. maddesi PSCo'yu, verileri toplandığı zaman her kişiye verilecek açık ve erişilebilir bilgi sağlamayı gerektirir:
- Veri denetleyicisinin kimliği ve zorunlu olarak kişisel veri işleyenlerin ölçeğinde verilerini işleyen PSCo'lar için DPO iletişim ayrıntıları (RGPD 37).
- Her işlemenin amaçları ve yasal temelleri.
- Kişilerin hakları (erişim, düzeltme, silme, taşınabilirlik, itiraz).
- Verilerin olası alıcıları (işleyiciler, yetkililer).
Bu bilgiler sağlayıcının gizlilik politikasında, CŞ'lerde ve gerektiğinde profesyonel müşterilerle imzalanan DPA'da görünmelidir.
Nitelikli Zaman Damgası ve Denetim İzi
İmzaların uzun vadeli ispat değerini garantilemek için, ciddi PSCo'lar sistematik olarak her imzalı belgeyle bir nitelikli elektronik zaman damgası (eIDAS 42) ilişkilendirirler. Bu zaman damgası, belirtilen tarihte verinin varlığının kanuni olarak varsayılan ispatıdır. Denetim izinin (tanımlama günlükleri, belge özeti, imza verileri) saklanması, herhangi bir sonraki yargısal doğrulama izni vermek için pratik yükümlülüktür.
> Pazar çözümlerini bu kriterlerle karşılaştırın elektronik imza çözümlerinin karşılaştırması'nda.
---
eIDAS 2.0: 2026-2027 Ufkunda Yeni Yükümlülükler
eIDAS 2.0 Yönetmeliği (UE) 2024/1183
27 Nisan 2024'te EU Resmi Gazetesinde yayınlanan "eIDAS 2.0" yönetmeliği (UE) 2024/1183, PSCo'lar için yükümlülükleri üç eksen etrafında önemli ölçüde güçlendirir:
- Avrupa Dijital Kimlik Portföyü (EUDI Wallet): üye devletler, 2 Kasım 2026'ya kadar sertifikalı bir dijital kimlik portföyü sağlamak zorundadır. PSCo'lar, eIDAS 2.0 kimliği aracılığıyla nitelikli imzalar sunmak için bu portföyle entegre olmak zorunda kalacaklar.
- Nitelikli Öznitelik Attestasyonları Yönetimi: eIDAS 2.0, nitelikli sağlayıcılar tarafından verilen nitelikli öznitelik attestasyonları (QEAAs) tanıtıyor. Yeni denetim ve yeterlilik prosedürleri uygulanacak.
- Denetimin Güçlendirilmesi: ulusal denetim yetkileri (Fransa için ANSSI), özellikle belirtilmemiş denetimler gerçekleştirme ve kısaltılmış sürelerde zorunlu düzeltici tedbirler alma yeteneğini içeren genişletilmiş yetkiler görür.
Mevcut Sağlayıcılar için Pratik Etkileri
eIDAS 1.0 altında zaten nitelikli PSCo'lar, Komisyon tarafından belirlenen (yayınlanmış veya yayınlanmak üzere olan) uygulama işlemlerine kademeli olarak uyum sağlamak zorundadır. Ana uyarlamalar:
- EUDI Wallet'i kimlik doğrulama aracı olarak desteklemek için tanımlama altyapısının yeniden tasarlanması.
- Yeni sertifika ve attestasyon türlerini entegre etmek için PC/DPC'nin güncellenmesi.
- Uzak QSCD'lerin güvenlik gerekliliklerinin güçlendirilmesi, yakında yayınlanacak yeni koruma profilleriyle.
Müşteri şirketler için, bu sağlayıcının belgelenmiş ve doğrulanabilir bir eIDAS 2.0 uyum yol haritası olması gerektiğini bugün doğrulamak anlamına gelir.
Elektronik İmza Sağlayıcısı Yükümlülüklerine Uygulanabilir Yasal Çerçeve
Fransa'da faaliyet gösteren elektronik imza sağlayıcılarına uygulanabilir normlar zinciri, birkaç tamamlayıcı hiyerarşik düzey üzerine inşa edilmiştir.
Fransız Medeni Kanunu — Maddeler 1366 ve 1367
Medeni Kanunun 1366. maddesi, elektronik yazıyı yazılı kanıtın eşdeğeri olarak kabul eder, koşuluyla "bunun kaynağının uygun şekilde tanımlanması ve onun ait olduğu kesin kanunda onun bütünlüğünü garanti etmek için bir koşul altında kurulup saklanması mümkün olsun". Madde 1367, elektronik imzanın "bağlı olduğu kesin kanunla ilişkisini garanti eden güvenilir bir tanımlama süreci kullanımından oluştuğunu" açıklar. eIDAS anlamında nitelikli imzalara yönelik güvenilirlik varsayımı, imzalayan lehine ispat yükünü tersine çevirir.
eIDAS Yönetmeliği n° 910/2014/AB
Bu yönetmelik, tüm üye devletlerde doğrudan uygulanabilir olup, güven hizmetlerinin yasal çerçevesini kurar. Maddesi 26, ileri elektronik imzanın koşullarını tanımlar; maddesi 28 nitelikli sertifikaların gereksinimlerini; Ek I bu sertifikaların zorunlu içeriğini detaylandırır. Nitelikli PSCo'lar, yönetmeliğin teknik ve yasal gerekliliklerine uygunluğunun varsayıldığından yararlanır (madde 19§2), bu da herhangi bir anlaşmazlıkta önemli bir avantajdır.
eIDAS 2.0 — (UE) 2024/1183
27 Nisan 2024'te yayınlanan bu değiştirilmiş yönetmelik, yeni güven hizmetleri kategorileri tanıtır (nitelikli öznitelik attestasyonları, nitelikli arşivleme hizmetleri) ve denetim yükümlülüklerini güçlendirir. Yönetmelik 910/2014'ü kısmen iptal eder ve değiştirir, Avrupa Komisyonunun uygulama işlemlerine göre kademeli uygulanabilirlik.
RGPD — (AB) 2016/679 Yönetmeliği
RGPD, elektronik imza hizmeti çerçevesinde yapılan tüm kişisel veri işlemelerine uygulanır. Maddeler 5 (yasal ilke), 6 (yasal dayanak), 9 (hassas veriler), 13-14 (bilgi), 28 (işleyicilik), 32 (güvenlik), 33-34 (ihlal bildirimi), 35 (AIPD) ve 37 (DPO) sık uygulanabilir hükümleri oluşturur. CNIL Fransa'da yetkili denetim yetkilisidir ve 20 milyon euro veya yıllık küresel ciro %4'ü'ne kadar (RGPD 83§5) para cezası verebilir.
NIS2 Yönergesi — (AB) 2022/2555
1 Ağustos 2023 tarih ve 2023-703 sayılı kanunla Fransız hukukuna aktarılan NIS2, önemli PSCo'ları siber risk yönetimi ve 24 saat içinde ANSSI'ye (erken uyarı) ardından 72 saat (tam bildirim) içinde olay bildirimi yükümlülüklerine tabi olan önemli veya temel varlıklar olarak sınıflandırır.
ETSI Standartları
EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 ve TS 119 431 tüm standartleri, yeterlilik denetimi için zorunlu teknik referansı oluşturur. Bunlara uymamanın sonucu, nitelikli statü elde etmek veya korumak imkansızlığıdır.
Uyumsuzluk Halinde Yasal Riskler
Uyumlu olmayan bir sağlayıcı aşağıdakileri riskler: TSL'den çıkarılması, sözleşme ve sözleşme dışı sorumluluk, CNIL idari yaptırımları, 10 milyon euro veya küresel CA %2'sine kadar (önemli varlıklar) ve 20 milyon veya %4 CA'ya kadar (temel varlıklar) NIS2 para cezaları, ayrıca imzaların yasal olarak geçerli olmadığı için zarar gören müşterileri tarafından açılan davalar.
Senaryolar: Şirketler PSCo'larının Uygunluğunu Nasıl Doğrularlar
Senaryo 1 — 3000 Tedarikçi Sözleşmesi Yönetilen Sanayi Grup
Mekanik ekipman imalatında aktif olan orta ölçekli sanayi grup (ETI), tüm tedarikçi sözleşmelerini bir SaaS elektronik imza platforması aracılığıyla demateryalleştirir. Yasal değişiklikle tetiklenen iç denetim sonrasında, yasal yönetim, başlangıçta fiyat kriterine dayalı olarak seçilen sağlayıcının ne Fransa TSL'sinde, ne de herhangi bir Avrupa TSL'sinde listelenmedliğini gözlemler. Verilen imzalar, güçlü imzalayan tanımlaması mekanizması olmaksızın "basit" türdendir.
Yasal risk — imzalanan tüm sözleşmelerin, anlaşmazlık durumunda ispat değerleri sorgulanabilir — şirketi nitelikli bir ANSSI PSCo'su (Certyneo gibi) kayıtlı sağlayıcıya geçişe mecbur eder. Yeni çözüm, ileri imza, nitelikli sertifika, nitelikli zaman damgası ve ihraç edilebilir denetim izi entegre eder. 8 haftadan az yapılan geçiş, yeni eylemleri geriye dönük olarak güvenli hale getirmeyi ve uyumlu bir belge yönetimi politikası kurmanın sağlar. Yasal ekipler, eski sözleşmelerle ilişkili dava riskinin yürütülmelerinin aksine tartışmasız olması nedeniyle marjinal kaldığını tahmin eder, ancak herhangi bir yeni imza artık korunur.
Gözlemlenen kazançlar: 60% oranında imzaların özgünlüğüyle ilişkili olası davaların azalması ve karmaşık sözleşmelere ortalama 3.5 gün imza gecikmesi tasarrufu, otomasyon sayesinde iş akışı doğrulaması.
Senaryo 2 — 25 İşletme Hukuku Uzmanlaşmış Avukatlık Bürosu
25 kişilik, işletme hukuku uzmanlaşmış bir avukatlık bürosu, vekalet, konsültasyon ve prosedür belgeleri imzasını demateryalize etmek istemektedir. Çok sayıda sağlayıcıyı değerlendir. Değerlendirme ölçeği: TSL'de bulunması, erişilebilir PC/DPC yayımı, RGPD uyumlu DPA'nın varlığı, iletişime geçilebilir DPO'nun mevcudiyeti ve uzak QSCD'lerin sertifikasyonunu içerir.
Değerlendirilen beş sağlayıcının yalnızca ikisi tüm kriterler için niteliklidir. Büro, yerel olarak uzak QSCD aracılığıyla nitelikli imza sunucu, Code civil Madde 1367'nin güvenilirlik varsayımını garantileyen bir PSCo'yu seçer. Kurulum 3 hafta alır, eğitim hariç. Sonuç: %75 vekalet artık 24 saatten az içinde imzalanır (eski durumda 5–7 gün posta), ve büro müşterilerine çözüm tarafından sunulan yasal güvenlik seviyesini belgelendirebilir — ticari tekliflerde fark yaratan bir argüman.
Senaryo 3 — Yaklaşık 1200 Yatak Kapasiteli Hastane Grubu
Yaklaşık 1200 yatak kapasiteli bir kamu hastane grubu, çalışma sözleşmelerini, staj sözleşmelerini ve ortak sağlık kurumlarıyla işletme anlaşmalarını demateryalize etmek istemektedir. İşlenen verilerin duyarlılığı (sağlık personeeli verisi, İK verileri), PSCo'nun RGPD yükümlülükleri hakkında dikkatli bir inceleme gerektirir.
BT Müdürlüğü ve kurumun DPO'su şunları talep eder: Fransa'da, HDS (Sağlık Verileri Barındırıcısı, Halk Sağlığı Kodunun L.1111-8 maddesi tarafından öngörülen sertifikasyon) sertifikalı bir sağlık verileri barındırıcıda barındırılması, AEA dışı transfer olmama, imzalayanları
Certyneo'yu ücretsiz deneyin
İlk imza zarfınızı 5 dakikadan kısa sürede gönderin. Kredi kartı olmadan ayda 5 ücretsiz zarf.
Konuyu derinlemesine keşfedin
Bu konuyla ilgili referans makaleler.
Konuyu derinlemesine keşfedin
Elektronik imzayı ustaca kullanmak için kapsamlı rehberlerimiz.
Önerilen makaleler
Konuyla ilgili bu makalelerle bilginizi derinleştirin.
Derneklerin Dijital Yönetişimi: 2026 Kılavuzu
Dijital yönetişim, karar alma süreçlerini modernize etmek isteyen dernekler için artık kaçınılmaz bir gereklilik haline gelmiştir. 2026 için araçları, yasal yükümlülükleri ve temel stratejileri keşfedin.
Sanal Genel Kurul: Dernekler için Rehber
Sanal bir genel kurul düzenlenmesi dernekler için belirli hukuki soruları gündeme getirmektedir. Elektronik imza sayesinde kararlarınızı nasıl güvence altına alacağınızı öğrenin.
Dernek Elektronik Tüzükleri: 2026'da Değişiklik
Elektronik imza aracılığıyla bir derneğin tüzüğünün değiştirilmesi artık Fransız hukuku tarafından tam olarak tanınmaktadır. Tam prosedürü ve geçerlilik koşullarını keşfedin.