Обов'язки постачальника послуг електронного підпису у Франції

Вступ

Розгортання рішення для електронного підпису у Франції — це не справа імпровізації. За кожним кваліфікованим або розширеним підписом приховуються десятки юридичних обов'язків, які покладаються на постачальника услуг довіри (PSCo). Регламент eIDAS, RGPD, загальний регламент безпеки, стандарти ETSI… нормативно-правова база одночасно щільна та розвивається. Для користувацьких компаній розуміння цих юридичних обов'язків постачальника послуг електронного підпису Франція eIDAS RGPD є незамінним для вибору відповідного партнера та уникнення будь-яких юридичних ризиків. Ця стаття детально розглядає по розділам усі вимоги, які застосовуються до PSCo, що діють на території Франції.

---

Статус кваліфікованого постачальника услуг довіри

Що таке PSCo за смислом eIDAS?

Регламент eIDAS № 910/2014 розрізняє дві категорії постачальників: не кваліфіковані постачальники услуг довіри та кваліфіковані постачальники (PSCQ). Перші можуть пропонувати услуги простого або розширеного електронного підпису без обов'язкового аудиту третьою стороною. Другі — єдині, яким дозволено видавати кваліфіковані підписи у смислі статті 3(15) eIDAS — повинні задовольняти значно більш строгим вимогам.

У Франції роль органу нагляду, передбачена статтею 17 eIDAS, виконує Національна агенція безпеки інформаційних систем (ANSSI). Вона публікує та супроводжує французький список довіри (TSL — Trust Service List), доступний на її офіційному сайті, в якому перераховані кваліфіковані постачальники та їхні услуги.

Процедура кваліфікації: аудит та відповідність

Для отримання кваліфікованого статусу PSCo повинен обов'язково:

• Пройти аудит своїх услуг органом оцінки відповідності (CAB — Conformity Assessment Body), акредитованим COFRAC відповідно до стандарту EN ISO/IEC 17065.

• Подати звіт про аудит до ANSSI, який приймає рішення про надання кваліфікованого статусу. Цей статус переоцінюється щонайменше кожні 24 місяці (стаття 20 §1 eIDAS).

• Повідомити ANSSI про будь-які суттєві зміни в своїх услугах у терміні 3 місяці до запланованої зміни (стаття 21 eIDAS).

Невиконання цих етапів піддає постачальника ризику видалення зі списку TSL та втраті юридичних презумпцій, пов'язаних з кваліфікованим підписом. Для клієнтів-компаній звернення до PSCo, не внесеного до TSL, еквівалентно втраті будь-якої юридичної презумпції надійності.

> Для більш глибокого розуміння різних рівнів підпису та їх юридичних наслідків, ознайомтеся з нашим повним керівництвом регламенту eIDAS 2.0.

---

Технічні обов'язки та вимоги безпеки, встановлені для PSCo

Дотримання стандартів ETSI

Кваліфіковані постачальники повинні дотримуватися набору європейських стандартів, опублікованих Європейським інститутом стандартизації телекомунікацій (ETSI). Основними є:

• ETSI EN 319 401: загальні вимоги безпеки, застосовні до всіх PSCo.

• ETSI EN 319 411-1 та 411-2: політики та практики органів сертифікації, що видають сертифікати кваліфікованого підпису.

• ETSI EN 319 132: формати розширеного електронного підпису (XAdES для XML, PAdES для PDF, CAdES для CMS).

• ETSI EN 319 122: формат CAdES для кваліфікованих підписів.

• ETSI TS 119 431: вимоги до услуг віддаленого створення підпису (QSCD на відстані).

Ці стандарти не є факультативними: регламент eIDAS (Додатки II, III та IV) прямо на них посилаються для визначення мінімальних вимог до кваліфікованих сертифікатів та пристроїв створення підпису.

Управління кваліфікованими пристроями створення підпису (QSCD)

Одним із стовпів кваліфікованого підпису є використання кваліфікованого пристрою створення підпису (QSCD — Qualified Signature Creation Device), відповідного Додатку II eIDAS. Постачальник повинен гарантувати, що:

• Приватний ключ підписуючої особи не може бути згенерований, збережений або скопійований поза межами QSCD.

• Генерування ключа виконується виключно в сертифікованому середовищі (сертифікація Common Criteria EAL 4+ або еквівалент).

• Автентифікація підписуючої особи перед будь-яким актом підпису ґрунтується на щонайменше двох факторах автентифікації.

У контексті віддаленого підпису — все більш поширене в середовищі SaaS — ці вимоги застосовуються до сервера HSM (Hardware Security Module), що містить ключі. ANSSI опублікувала специфічні профілі захисту (PP-0075, PP-0076), які визначають критерії безпеки, яких необхідно досягти.

Політика безперервності діяльності та повідомлення про інциденти

Стаття 19 eIDAS накладає на будь-якого постачальника услуг довіри (кваліфікованого чи ні) обов'язок:

• Повідомити органу нагляду (ANSSI) та, у разі необхідності, органу захисту даних (CNIL), протягом 24 годин після виявлення порушення безпеки, яке може вплинути на надійність послуги.

• Мати документований та регулярно перевірений план безперервності діяльності.

• Мати політику безпеки інформації, що охоплює управління ризиками, управління інцидентами та політику резервного копіювання.

Ці вимоги частково збігаються з вимогами директиви NIS2 (2022/2555/ЄС), впровадженої у французьке право Законом № 2023-703 від 1 серпня 2023 року, яка класифікує PSCo значної величини як важливі або критичні суб'єкти, які підлягають посиленим обов'язкам у сфері кібербезпеки.

> Дізнайтеся, як електронний підпис для юридичних контор повинен інтегрувати ці обмеження у свої документарні робочі процеси.

---

Специфічні обов'язки RGPD для PSCo

PSCo як відповідальна сторона або оброблювач даних?

Класифікація RGPD постачальника залежить від характеру наданої послуги:

• Коли PSCo безпосередньо видає кваліфіковані сертифікати від імені підписуючої особи та визначає цілі обробки персональних даних (ідентичність, біометричні дані автентифікації), він діє як відповідальна сторона у смислі статті 4(7) RGPD.

• Коли він інтегрує свій API у платформу клієнта B2B та обробляє персональні дані лише відповідно до інструкцій цього клієнта, він набуває статусу оброблювача (стаття 4(8) RGPD) та обов'язково повинен укласти DPA (Data Processing Agreement), відповідну статті 28 RGPD.

На практиці більшість SaaS PSCo поєднують обидва статуси: відповідальна сторона для управління своєю власною інфраструктурою сертифікації, оброблювач для обробки документів та метаданих підписуючих осіб.

Специфічні обов'язки, пов'язані з біометричними даними та даними ідентичності

Ідентифікація та автентифікація підписуючої особи — обов'язковий етап для видачі кваліфікованого сертифіката — часто передбачає обробку чутливих даних: сканування документа, посвідчення особи, селфі-відео, біометричні дані розпізнавання облич. Ці дані являють собою персональні дані, що підлягають RGPD, чи навіть біометричні дані, які регулюються статтею 9 RGPD (спеціальні категорії).

Обов'язки PSCo включають:

• Правова основа: явна згода (стаття 9§2a) чи, в деяких випадках, юридичний обов'язок (стаття 9§2b) для обробки біометричних даних.

• Обмежена тривалість зберігання: відповідно до рекомендацій CNIL, дані ідентифікації повинні зберігатися лише стільки часу, скільки необхідно, зазвичай узгоджено з терміном дії сертифіката + юридичний термін доказу (часто 10 років для приватних актів, стаття 2224 Цивільного кодексу).

• Оцінка впливу (AIPD) є обов'язковою (стаття 35 RGPD) у разі, якщо обробка може призвести до високого ризику — що систематично має місце для біометрії.

• Реєстр обробки даних (стаття 30 RGPD), який потрібно тримати в актуальному стані та документувати кожну категорію обробки.

Міжнародні передачі даних

Багато PSCo розміщують всю або частину своєї інфраструктури поза межами Європейського економічного простору (EEA). У такому разі застосовуються відповідні гарантії, необхідні за розділом V RGPD: рішення про адекватність, типові договірні положення (SCCs) Комісії європейської або обов'язуючі корпоративні правила (BCR). Рішення Schrems II (CJEU, C-311/18, 16 липня 2020 року) нагадало, що передачі до Сполучених Штатів вимагають попередньої аналізу ризиків по країнах.

> Щоб зрозуміти вплив цих правил на вашу організацію, ознайомтеся з нашим керівництвом щодо електронного підпису в компаніях.

---

Обов'язки прозорості та інформування користувачів

Політика сертифікації (PC) та Декларація практик сертифікації (DPC)

Будь-який PSCo, який видає сертифікати, зобов'язаний опублікувати Політику сертифікації (PC) та Декларацію практик сертифікації (DPC), відповідно до стандарту ETSI EN 319 411. Ці документи, вільно доступні, деталізують:

• Процедури ідентифікації та реєстрації підписуючих осіб.

• Фізичні та логічні заходи безпеки, які впроваджені.

• Умови відкликання сертифікатів та пов'язані з цим терміни.

• Відповідальність та обмеження гарантій PSCo.

Відсутність або неповнота цих документів становить недотримання, яке може бути виявлено під час аудиту переатестації органом, акредитованим відповідно до цього.

Докон­трактна та контрактна інформація для клієнтів

Крім чисто технічних обов'язків, стаття 13 RGPD накладає на PSCo обов'язок надавати кожній особі, чиї дані збираються, ясну та доступну інформацію про:

• Ідентичність відповідальної сторони та контактні дані DPO (обов'язовий для PSCo, які обробляють у великих обсягах чутливі дані, стаття 37 RGPD).

• Цілі та правові основи кожної обробки.

• Права осіб (доступ, виправлення, видалення, портативність, заперечення).

• Можливих одержувачів даних (оброблювачів, органи влади).

Ця інформація повинна міститися в політиці конфіденційності послуги, в умовах надання послуг та, у разі необхідності, в DPA, укладеному з професійними клієнтами.

Кваліфікований часовий штамп та журнал аудиту

Щоб гарантувати довготривалу доказову цінність підписів, серйозні PSCo систематично пов'язують кваліфіковану електронну позначку часу (стаття 42 eIDAS) з кожним підписаним актом. Цей часовий штамп становить юридично презумовані докази існування даних на зазначену дату. Зберігання журналу аудиту (журнали ідентифікації, відбиток документа, дані підпису) є фактичним обов'язком, щоб дозволити будь-яку подальшу судову перевірку.

> Порівняйте рішення на ринку на основі цих критеріїв у нашому порівнянні рішень електронного підпису.

---

eIDAS 2.0: нові обов'язки на горизонті 2026-2027

Регламент eIDAS 2.0 (UE) 2024/1183

Опублікований у Офіційному журналі ЄС 30 квітня 2024 року, регламент (UE) 2024/1183 під назвою «eIDAS 2.0» значно посилює обов'язки PSCo за трьома основними напрямами:

• Європейський цифровий гаманець ідентичності (EUDI Wallet): держави-члени повинні надати гаманець цифрової ідентичності, сертифікований до 2 листопада 2026 року. PSCo повинні інтегрувати свої послуги з цим гаманцем для пропозиції кваліфікованих підписів через ідентичність eIDAS 2.0.

• Управління атестаціями атрибутів: eIDAS 2.0 вводить кваліфіковані атестації атрибутів (QEAAs), видані кваліфікованими постачальниками атестацій. Застосовуватимуться нові процедури аудиту та кваліфікації.

• Посилення нагляду: національні органи нагляду (ANSSI для Франції) мають розширені повноваження, зокрема можливість організовувати позапланові аудити та застосовувати обов'язуючі коригуючі заходи у скорочених термінах.

Практичні наслідки для поточних постачальників

PSCo, вже кваліфіковані за eIDAS 1.0, повинні здійснити поетапну адаптацію перед встановленими термінами в виконавчих актах Комісії (опублікованих або у процесі публікації). Основні адаптації стосуються:

• Переробки інфраструктури ідентифікації для підтримки EUDI Wallet як засобу автентифікації.

• Оновлення PC/DPC для інтеграції нових типів сертифікатів та атестацій.

• Посилення вимог безпеки QSCD на відстані, з новими профілями захисту, які з'являться.

Для клієнтів-компаній це означає перевірку вже сьогодні, що їх постачальник має документовану та перевіряту дорожну карту відповідності eIDAS 2.0.

Нормативно-правова база, застосовна до обов'язків постачальників електронного підпису

Нормативний ланцюг, застосовний до постачальників електронного підпису, що діють у Франції, складається з кількох взаємодоповнювальних ієрархічних рівнів.

Французький Цивільний кодекс — Статті 1366 та 1367

Стаття 1366 Цивільного кодексу визнає електронний письмовий документ як засіб доказу, рівноцінний паперовому, за умови, що «людина, від якої він походить, може бути належним чином ідентифікована, і він складений та збережений у такий спосіб, щоб гарантувати його цілісність». Стаття 1367 уточнює, що електронний підпис «полягає у використанні надійного процесу ідентифікації, який гарантує його зв'язок з актом, до якого він додається». Презумпція надійності користується кваліфікованими підписами за смислом eIDAS, перекладаючи бремя доказу на користь підписуючої особи.

Регламент eIDAS № 910/2014/ЄС

Цей регламент, що має пряму дію у всіх державах-членах, встановлює правову базу для услуг довіри. Його стаття 26 визначає умови розширеного електронного підпису; стаття 28 — вимоги до кваліфікованих сертифікатів; Додаток I деталізує обов'язковий вміст цих сертифікатів. Кваліфіковані PSCo користуються презумпцією відповідності вимогам техніки та права регламенту (стаття 19§2), що становить значну перевагу у разі спору.

Регламент eIDAS 2.0 — (UE) 2024/1183

Опублікований 30 квітня 2024 року, цей регламент про поправки вводить нові категорії услуг довіри (кваліфіковані атестації атрибутів, кваліфіковані услуги архівування) та посилює обов'язки нагляду. Він скасовує та частково замінює регламент 910/2014, з поступовою застосовуваністю відповідно до виконавчих актів Комісії європейської.

RGPD — Регламент (ЄС) 2016/679

RGPD застосовується до будь-якої обробки персональних даних, здійсненої у контексті послуги електронного підпису. Статті 5 (принципи законності), 6 (правова основа), 9 (чутливі дані), 13-14 (інформування), 28 (обробка), 32 (безпека), 33-34 (повідомлення про порушення), 35 (AIPD) та 37 (DPO) становлять найбільш часто застосовні положення. CNIL є компетентним органом контролю у Франції та може накладати штрафи до 20 млн євро або 4 % світового річного обороту (стаття 83§5 RGPD).

Директива NIS2 — (ЄС) 2022/2555

Впроваджена у французьке право Законом № 2023-703 від 1 серпня 2023 року, NIS2 класифікує значних PSCo серед важливих або критичних суб'єктів, які підлягають обов'язкам управління кіберризиками та повідомлення про інциденти до ANSSI протягом 24 годин (раннього попередження) та потім 72 годин (повного повідомлення).

Стандарти ETSI

Набір стандартів EN 319 401, EN 319 411-1/2, EN 319 132, EN 319 122 та TS 119 431 становить обов'язкову техніч­ну референцію для аудиту кваліфікації. Їх невиконання тягне за собою неможливість отримати або зберегти кваліфікований статус.

Юридичні ризики у разі недотримання

Постачальник, що не дотримується вимог, піддається ризику: видалення зі французького TSL, утримання його договірної та позадоговірної відповідальності, адміністративні санкції CNIL, штрафи NIS2, які можуть досягати 10 млн євро або 2 % світового обороту для важливих суб'єктів та 20 млн або 4 % світового обороту для критичних суб'єктів, а також судові позови клієнтів, які зазнали збитків через невалідні з юридичної точки зору підписи.

Сценарії використання: як компанії перевіряють дотримання PSCo

Сценарій 1 — Промисловий холдинг, що управляє 3 000 контрактів постачальників на рік

Промисловий холдинг середнього розміру (ETI), активний у виробництві механічного устаткування, дематеріалізує всі свої контракти з постачальниками через SaaS-платформу електронного підпису. Під час внутрішнього аудиту, виконаного після нормативно-правових змін, група правова служба помічає, що обраний постачальник — спочатку відібраний за критерієм ціни — не внесений ні до французького TSL, ні до жодного європейського TSL. Видані підписи мають тип «простий» без надійного механізму ідентифікації підписуючої особи.

Перед обличчям юридичного ризику — вся набір контрактів, підписаних, могла б мати оскаржену доказову цінність у разі спору — компанія розпочинає міграцію до кваліфікованого PSCo ANSSI. Нове рішення інтегрує розширений підпис з кваліфікованим сертифікатом, кваліфікованим часовим штампом та експортованим журналом аудиту. Міграційний проект, здійснений менш ніж за 8 тижнів, дозволяє переатестувати задним числом нові акти та встановити відповідну політику ведення документів. Юридичні групи оцінюють, що ризик судових спорів, пов'язаних із старими контрактами, залишається незначним через їхнє виконання без заперечень, але будь-який новий підпис тепер захищений.

Спостережувані переваги: зменшення на 60 % потенційних спорів, пов'язаних з автентичністю підписів, та економія 3,5 дня в середньому часу підпису на складних контрактах завдяки автоматизації робочого процесу валідації.

Сценарій 2 — Юридична контора з 25 співробітників, спеціалізована у корпоративному праві

Юридична контора, яка прагне дематеріалізувати підпис дорученням, консультацій та судових актів, оцінює кількох постачальників. Її матриця аналізу включає такі критерії: наявність у TSL, публікацію доступної PC/DPC, існування DPA, відповідного RGPD, доступність DPO, який можна контактувати, та сертифікацію QSCD на відстані.

З п'яти оцінених постачальників лише два відповідають всім критеріям. Контора остаточно обирає PSCo, який нативно пропонує кваліфікований підпис через QSCD на відстані, гарантуючи презумпцію надійності статті 1367 Цивільного кодексу. Запровадження займає 3 тижні, включаючи навчання. Результат: 75 % дорученнями тепер підписуються менш ніж за 24 години, порівняно з 5-7 днями раніше (поштова відправка), і контора може виправдати перед своїми клієнтами рівень юридичної безпеки, запропонований рішенням — аргумент, що розрізняє пропозиції контори на комерційному ринку.

Сценарій 3 — Лікувально-профілактичне об'єднання приблизно з 1 200 ліжок

Лікувально-профілактичне об'єднання державного сектору прагне дематеріалізувати трудові контракти, угоди про стажування та угоди про партнерство з партнерськими лікувально-профілактичними установами. Чутливість оброблюваних даних (дані здоров'я медичного персоналу, дані HR) вимагає особливої уваги до обов'язків RGPD PSCo.

Управління інформаційних систем та DPO установи вимагають: розміщення даних у Франції в сертифікованого постачальника услуг збереження даних здоров'я (HDS — Hébergeur de Données de Santé, сертифікація передбачена статтею L.1111-8 Кодексу суспільної охорони здоров'я), відсутність передачи поза межами EEA, документованої AIPD для обробки ідентифікації підписуючих осіб та DPA, підписаної перед запуском в виробництво.

Після вибору PSCo, що відповідає цим критеріям, розгортання охоплює в першу чергу контракти HR (приблизно 800 актів на рік). Середній час підпису контр