Зобов'язання постачальника електронного підпису у Франції

Вступ

Розгортання рішення електронного підпису у Франції не можна робити імпровізовано. За кожним кваліфікованим або просунутим підписом приховується десятки юридичних зобов'язань, що лежать на постачальнику послуг довіри (PSCo). Регламент eIDAS, RGPD, загальний довідник безпеки, норми ETSI… нормативна база одночасно щільна та динамічна. Для компаній, які використовують послуги, розуміння цих юридичних зобов'язань постачальника електронного підпису у Франції eIDAS RGPD є необхідним для вибору конформного партнера та уникнення будь-яких юридичних ризиків. Ця стаття детально описує, розділ за розділом, весь набір вимог, які застосовуються до PSCo, що працюють на території Франції.

---

Статус кваліфікованого постачальника послуг довіри

Що таке PSCo в розумінні eIDAS?

Регламент eIDAS № 910/2014 розрізняє дві категорії постачальників: некваліфіковані постачальники послуг довіри та кваліфіковані постачальники (PSCQ). Першим дозволено пропонувати послуги простого або просунутого електронного підпису без обов'язкового аудиту третьої сторони. Другі — єдиним уповноважені видавати кваліфіковані підписи в розумінні статті 3(15) eIDAS — повинні відповідати значно суворішим вимогам.

У Франції роль органу нагляду («Supervisory Body»), передбаченої статтею 17 eIDAS, виконує Національне агентство інформаційної безпеки (ANSSI). Воно публікує та веде французький список довіри (TSL — Trust Service List), доступний на його офіційному сайті, де перераховані кваліфіковані постачальники та їхні послуги.

Процедура кваліфікації: аудит та відповідність

Щоб отримати статус кваліфікованого, PSCo повинен обов'язково:

• Провести аудит своїх послуг органом оцінки відповідності (CAB — Conformity Assessment Body), акредитованим COFRAC відповідно до норми EN ISO/IEC 17065.

• Подати звіт про аудит до ANSSI, який виносить рішення про надання кваліфікованого статусу. Цей статус переоцінюється щонайменше кожні 24 місяці (стаття 20 §1 eIDAS).

• Повідомити ANSSI про будь-які суттєві зміни в своїх послугах протягом 3 місяців до планованої зміни (стаття 21 eIDAS).

Невиконання цих кроків піддає постачальника виключенню з TSL та втраті юридичних презумпцій, пов'язаних з кваліфікованим підписом. Для компаній-клієнтів звернення до PSCo, який не внесений в TSL, означає втрату будь-яких юридичних презумпцій надійності.

> Для отримання більшої інформації про різні рівні підпису та їхні юридичні наслідки, зверніться до нашого.

---

Технічні та безпекові зобов'язання, які закладаються на PSCo

Дотримання норм ETSI

Кваліфіковані постачальники повинні дотримуватися набору європейських норм, опублікованих Європейським інститутом стандартів телекомунікацій (ETSI). Головними є:

• ETSI EN 319 401: загальні вимоги безпеки, які застосовуються до всіх PSCo.

• ETSI EN 319 411-1 та 411-2: політики та практики органів сертифікації, які видають сертифікати кваліфікованого підпису.

• ETSI EN 319 132: формати просунутого електронного підпису (XAdES для XML, PAdES для PDF, CAdES для CMS).

• ETSI EN 319 122: формат CAdES для кваліфікованих підписів.

• ETSI TS 119 431: вимоги до послуг створення підпису на відстані (QSCD на відстані).

Ці норми не є опціональними: регламент eIDAS (Додаток II, III та IV) явно на них посилається для визначення мінімальних вимог до кваліфікованих сертифікатів та пристроїв створення підпису.

Управління захищеними пристроями для створення підпису (QSCD)

Однією з основ кваліфікованого підпису є використання захищеного пристрою для створення підпису (QSCD — Qualified Signature Creation Device), конформного до Додатку II eIDAS. Постачальник повинен гарантувати, що:

• Приватний ключ підписувача не може бути створений, збережений або скопійований за межами QSCD.

• Генерація ключа проводиться виключно в сертифікованому середовищі (сертифікація Common Criteria EAL 4+ або еквівалентна).

• Автентифікація підписувача перед будь-яким актом підпису ґрунтується на щонайменше двох факторах автентифікації.

У контексті підпису на відстані — все більш поширеного в SaaS-середовищах — ці вимоги застосовуються до сервера HSM (Hardware Security Module), на якому розміщуються ключі. ANSSI опублікував конкретні профілі захисту (PP-0075, PP-0076), які визначають критерії безпеки, які необхідно досягти.

Політика безперервності та повідомлення про інциденти

Стаття 19 eIDAS зобов'язує кожного постачальника послуг довіри (кваліфікованого чи ні) на:

• Повідомити орган нагляду (ANSSI) та, за необхідності, орган захисту даних (CNIL) протягом 24 годин після виявлення порушення безпеки, яке може негативно вплинути на надійність послуги.

• Утримувати документований та регулярно протестований план безперервності діяльності.

• Мати формалізовану політику інформаційної безпеки, що охоплює, зокрема, управління ризиками, управління інцидентами та політику резервного копіювання.

Ці вимоги частково перекриваються з вимогами Директиви NIS2 (2022/2555/ЄС), яка була імплементована в французьке право Законом № 2023-703 від 1 серпня 2023 року, який класифікує PSCo значної ваги серед важливих або критичних сутностей, на яких покладаються посилені зобов'язання щодо кібербезпеки.

> Дізнайтесь, як повинні інтегрувати ці обмеження у свої документообігові робочі потоки.

---

Зобов'язання RGPD, специфічні для PSCo

PSCo, відповідальний за обробку даних або обробник?

Класифікація RGPD постачальника залежить від характеру наданої послуги:

• Коли PSCo безпосередньо видає кваліфіковані сертифікати від імені підписувача та визначає цілі обробки персональних даних (ідентичність, біометричні дані автентифікації), він виступає як відповідальний за обробку даних у розумінні статті 4(7) RGPD.

• Коли він інтегрує свій API на платформу клієнта B2B та обробляє персональні дані виключно за вказівками цього клієнта, він набуває статусу обробника (стаття 4(8) RGPD) і повинен обов'язково укласти DPA (Data Processing Agreement), конформний статті 28 RGPD.

На практиці більшість SaaS PSCo поєднують обидві ролі: відповідальні за управління власною інфраструктурою сертифікації, обробники для обробки документів та метаданих підписувачів.

Специфічні зобов'язання, пов'язані з біометричними даними та даними ідентичності

Ідентифікація та автентифікація підписувача — обов'язковий етап для видачі кваліфікованого сертифіката — часто включає обробку конфіденційних даних: сканування посвідчення особистості, відеосельфі, біометричні дані розпізнавання обличчя. Ці дані є персональними даними, що підлягають RGPD, а то й біометричними даними, що підпадають під статтю 9 RGPD (спеціальні категорії).

Зобов'язання PSCo включають:

• Правова основа: явна згода (стаття 9§2a) або, в деяких випадках, юридичне зобов'язання (стаття 9§2b) для обробки біометричних даних.

• Обмежений період збереження: відповідно до рекомендацій CNIL, дані ідентифікації повинні зберігатися скільки часу строго необхідно, як правило, узгоджено з терміном дії сертифіката + юридичний період доказу (часто 10 років для приватних актів, стаття 2224 Цивільного кодексу).

• Аналіз впливу (AIPD) є обов'язковим (стаття 35 RGPD), якщо обробка може спричинити високий ризик — це систематично стосується біометрії.

• Реєстр обробок (стаття 30 RGPD), який постійно оновлюється та документує кожну категорію обробки.

Міжнародні передачі даних

Багато хто з PSCo розміщують всю або частину своєї інфраструктури за межами Європейського економічного простору (EEA). У цьому випадку до застосування приходять гарантії, необхідні за розділом V RGPD: рішення про адекватність, типові договірні пункти (SCCs) Європейської комісії або обов'язуючі корпоративні правила (BCR). Рішення Schrems II (CJEU, C-311/18, 16 липня 2020) нагадало, що передачі до Сполучених Штатів вимагають попередньої аналізу ризиків за країною.

> Щоб зрозуміти вплив цих правил на вашу організацію, зверніться до нашого.

---

Зобов'язання щодо прозорості та інформування користувачів

Політика сертифікації (PC) та Декларація про практики сертифікації (DPC)

Кожен PSCo, який видає сертифікати, зобов'язаний опублікувати Політику сертифікації (PC) та Декларацію про практики сертифікації (DPC), відповідно до норми ETSI EN 319 411. Ці документи, вільно доступні, містять деталі:

• Процедури ідентифікації та реєстрації підписувачів.

• Заходи фізичної та логічної безпеки, які застосовуються.

• Умови відкликання сертифікатів та пов'язані з ними терміни.

• Відповідальність та обмеження гарантії PSCo.

Відсутність або неповнота цих документів являють собою невідповідність, яку можна виявити під час аудиту переквалібікації акредитованою організацією.

Інформування клієнтів до та під час укладення контракту

Крім суто технічних зобов'язань, стаття 13 RGPD зобов'язує PSCo надавати кожній особі, дані якої збираються, чітку та доступну інформацію про:

• Ідентичність відповідального за обробку даних та координати DPO (обов'язково для PSCo, які обробляють дані чутливої природи у великому обсязі, стаття 37 RGPD).

• Цілі та правові основи кожної обробки.

• Права осіб (доступ, коригування, видалення, портативність, заперечення).

• Можливих одержувачів даних (обробники, органи влади).

Ця інформація повинна включатися в політику конфіденційності послуги, в Умови обслуговування та, за необхідності, в DPA, укладений з професіональними клієнтами.

Кваліфікований часовий штамп та аудит трейл

Щоб гарантувати довгострокову доказову цінність підписів, серйозні PSCo систематично асоціюють кваліфікований електронний часовий штамп (стаття 42 eIDAS) з кожним підписаним актом. Цей часовий штамп являє собою юридично презумовану доказ існування даних на зазначену дату. Збереження аудит трейлу (логи ідентифікації, відбиток документа, дані підпису) є практичним зобов'язанням для дозволу будь-якої подальшої судової перевірки.

> Порівняйте рішення на ринку за цими критеріями в нашому.

---

eIDAS 2.0: нові зобов'язання на горизонті 2026-2027

Регламент eIDAS 2.0 (EU) 2024/1183

Опублікований в Офіційному журналі ЄС 30 квітня 2024 року, регламент (EU) 2024/1183 під назвою "eIDAS 2.0" значно посилює зобов'язання PSCo за трьома напрямками:

• Європейський портфель цифрової ідентичності (EUDI Wallet): держави-члени повинні надати портфель цифрової ідентичності, сертифікований до 2 листопада 2026 року. PSCo повинні буде інтегрувати свою послугу з цим портфелем для пропозиції кваліфікованих підписів через ідентичність eIDAS 2.0.

• Управління атестаціями атрибутів: eIDAS 2.0 вводить кваліфіковані атестації атрибутів (QEAAs), видані кваліфікованими постачальниками атестацій. Застосовуватимуться нові процедури аудиту та кваліфікації.

• Посилення нагляду: національні органи нагляду (ANSSI для Франції) отримують розширені повноваження, зокрема здатність проводити позапланові аудити та застосовувати обов'язкові коригувальні заходи в скорочені терміни.

Практичні наслідки для поточних постачальників

PSCo, вже кваліфіковані в рамках eIDAS 1.0, повинні будуть прогресивно привести себе у відповідність до встановлених Комісією дат, визначених у здійснювальних актах (опубліковані або в курсі публікації). Основні адаптації стосуються:

• Перепроектування інфраструктури ідентифікації для підтримки EUDI Wallet як засобу автентифікації.

• Оновлення PC/DPC для інтеграції нових типів сертифікатів та атестацій.

• Посилення вимог до безпеки QSCD на відстані, з новими профілями захисту, що надходитимуть.

Для компаній-клієнтів це означає перевірити вже сьогодні, що їхний постачальник має документовану та перевіряєму дорожну карту відповідності eIDAS 2.0.

Правова база, яка застосовується до зобов'язань постачальників електронного підпису

Нормативна ієрархія, яка застосовується до постачальників електронного підпису, що працюють у Франції, артикулюється на кількох взаємодоповнювальних рівнях.

Цивільний кодекс Франції — Статті 1366 та 1367

Стаття 1366 Цивільного кодексу визнає електронний документ як способом доказу, еквівалентний паперовому, за умови, що "людина, від якої він виходить, може бути дійсно ідентифікована, і він встановлено та зберігається таким чином, що гарантується його цілісність". Стаття 1367 уточнює, що електронний підпис "складається з використання надійного засобу ідентифікації, який гарантує його зв'язок з актом, до якого він приєднується". Презумція надійності користується кваліфікованими підписами в розумінні eIDAS, переводячи тягар доказу на користь підписувача.

Регламент eIDAS № 910/2014/EU

Цей регламент, що має прямо застосовуватися у всіх державах-членах, встановлює правову базу послуг довіри. Його стаття 26 визначає умови просунутого електронного підпису; стаття 28 вимоги до кваліфікованих сертифікатів; його Додаток I деталізує обов'язковий вміст цих сертифікатів. Кваліфіковані PSCo користуються презумпцією відповідності технічним та юридичним вимогам регламенту (стаття 19§2), що являє собою істотну перевагу в разі суперечки.

Регламент eIDAS 2.0 — (EU) 2024/1183

Опублікований 30 квітня 2024 року, цей поправочний регламент вводить нові категорії послуг довіри (кваліфіковані атестації атрибутів, послуги кваліфікованого архівування) та посилює зобов'язання щодо нагляду. Він скасовує та частково замінює регламент 910/2014, з прогресивною застосовуваністю відповідно до здійснювальних актів Європейської комісії.

RGPD — Регламент (EU) 2016/679

RGPD застосовується до будь-якої обробки персональних даних, яка здійснюється в рамках послуги електронного підпису. Статті 5 (принципи правомірності), 6 (правова основа), 9 (чутливі дані), 13-14 (інформування), 28 (обробка), 32 (безпека), 33-34 (повідомлення про порушення), 35 (AIPD) та 37 (DPO) становлять найбільш часто застосовні положення. CNIL є компетентним органом контролю у Франції і може накладати штрафи до 20 мільйонів євро або 4% річного світового обороту (стаття 83§5 RGPD).

Директива NIS2 — (EU) 2022/2555

Імплементована у французьке право Законом № 2023-703 від 1 серпня 2023 року, NIS2 класифікує значні PSCo серед важливих або критичних сутностей, на які покладаються зобов'язання щодо управління кіберризиками та повідомлення про інциденти ANSSI протягом 24 годин (раннього попередження) та 72 годин (повного повідомлення).

Норми ETSI

Набір норм EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 та TS 119 431 являє собою обов'язкову технічну довідку для аудиту кваліфікації. Їхнювідповідність перешкоджає можливості отримати або зберегти кваліфікований статус.

Юридичні ризики у разі невідповідності

Невідповідний постачальник піддається наступному: виключенню з французького TSL, зобов'язанням щодо договірної та позадоговірної відповідальності, адміністративним санкціям CNIL, штрафам NIS2 до 10 мільйонів євро або 2% світового обороту для важливих сутностей та 20 мільйонів або 4% обороту для критичних сутностей, а також судовим позовам клієнтів, які постраждали внаслідок неважних юридично підписів.

Сценарії використання: як компанії перевіряють відповідність свого PSCo

Сценарій 1 — Промислова група, що управляє 3 000 контрактів поставщиків на рік

Промислова група середнього розміру (ETI), активна у виробництві механічного обладнання, дематеріалізує весь комплекс своїх контрактів поставщиків через SaaS-платформу електронного підпису. Під час внутрішнього аудиту, який було ініційовано після регуляторної зміни, юридичний відділ констатує, що обраний постачальник — первинно обраний за критерієм вартості — не занесений ні в французький TSL, ні в жодний європейський TSL. Видані підписи мають тип "простий" без механізму надійної ідентифікації підписувача.

Розглядаючи юридичний ризик — вся множина підписаних контрактів може мати оскаржену доказову цінність у разі суперечки — компанія проводить міграцію до кваліфікованого PSCo ANSSI. Нове рішення інтегрує просунутий підпис з кваліфікованим сертифікатом, кваліфікований часовий штамп та експортийний аудит трейл. Проект міграції, реалізований менш ніж за 8 тижнів, дозволяє задним числом захистити нові акти та встановити конформну документальну політику. Юридичні команди вважають, що ризик містити більшість виконаних контрактів залишається мінімальним через їх невиконання без заперечень, але будь-який новий підпис тепер охоплюється.

Спостережені результати: скорочення на 60% потенційних спорів щодо автентичності підписів та економія 3,5 дня середнього часу підпису на складних контрактах завдяки автоматизації робочого потоку валідації.

Сценарій 2 — Юридична контора з 25 співробітниками, що спеціалізується на комерційному праві

Юридична контора, яка прагне дематеріалізувати підпис на мандатах, консультаціях та судових актах, оцінює кількох постачальників. Його сітка аналізу включає наступні критерії: наявність в TSL, публікація доступної PC/DPC, існування RGPD-конформного DPA, доступність контактного DPO та сертифікація QSCD на відстані.

З п'яти оцінених постачальників лише двоє задовольняють всі критерії. Контора, в кінцевому підсумку, обирає PSCo, що пропонує нативно кваліфікований підпис через QSCD на відстані, гарантуючи презумпцію надійності статті 1367 Цивільного кодексу. Впровадження займає 3 тижні, включаючи навчання. Результат: 75% мандатів тепер підписуються менш ніж за 24 години проти 5-7 днів раніше (поштова відправка), і контора може обґрунтувати своїм клієнтам рівень юридичної безпеки, запропонований рішенням — диференціюючий аргумент у своїх комерційних пропозиціях.

Сценарій 3 — Групування лікарень приблизно з 1 200 ліжок

Групування державних лікарень прагне дематеріалізувати трудові контракти, угоди про стажування та угоди про партнерство з партнерськими установами охорони здоров'я. Чутливість оброблюваних даних (дані про здоров'я медичного персоналу, дані HR) вимагає особливої уваги до зобов'язань PSCo щодо RGPD.

DSI та DPO установи вимагають: розміщення даних у Франції у постачальника даних про здоров'я з сертифікатом HDS (Hébergeur de Données de Santé, сертифікація, передбачена статтею L.1111-8 Кодексу громадської охорони здоров'я), відсутність передачі за межі EEA, документована AIPD для обробки ідентифікації підписувачів та DPA, підписаний до будь-якого впровадження в експлуатацію.

Після вибору PSCo, що відповідає цим критеріям, розгортання охоплює в першу чергу контракти HR (приблизно 800 актів на рік). Середній час підпису контрактів на визначений термін скорочується з 9 днів до менш ніж 48 годин, звільняючи значну здатність для команд кадрів. Установа, крім того, має повну відстежуваність усіх зібраних згод, перевірену щорічно своїм DPO.

Висновок

Юридичні зобов'язання, які висуваються до постачальників електронного підпису у Франції, складають вимогливий корпус нормативних актів: кваліфікація eIDAS, відповідність RGPD, дотримання норм ETSI, зобов'язання NIS2 та невідворотна адаптація до eIDAS 2.0. Для компаній-користувачів забезпечення відповідності свого PSCo не є опціональною діяльністю — це sine qua non умова доказової цінності підписаних актів та захисту персональних даних підписувачів.

Certyneo є постачальником електронного підпису, розроблений для дотримання всіх цих вимог: конформність eIDAS, RGPD by design, суверенний хостинг та документована дорожна карта eIDAS 2.0. Готові захистити свої підписи у повній відповідності? та отримайте персоналізований супровід з першого дня.