Không gian khách hàng ký tên trong khu vực công cộng: hướng dẫn thực hành

Quá trình phi giấy tờ của các thủ tục hành chính đang tăng tốc trong các tập thể địa phương và cơ quan hành chính công ở Pháp. Kể từ khi kế hoạch "Action publique 2022" có hiệu lực và các yêu cầu phát sinh từ Quy định eIDAS, các tổ chức công cộng phải cung cấp các quy trình kỹ thuật số trơn tru, an toàn và có thể đối chọi. Trung tâm của cơ chế này là không gian khách hàng ký tên, một cổng thông tin chuyên dụng cho phép mỗi người dùng hoặc đối tác nhận được, tham khảo, ký và lưu trữ các tài liệu chính thức trực tuyến. Bài viết này chi tiết các bước cụ thể để tạo một không gian như vậy trong khu vực công cộng, các yêu cầu quy định phải tuân thủ và các thực hành tốt nhất từ thực tế.

Tại sao không gian khách hàng ký tên trở thành chiến lược đối với khu vực công cộng

Bối cảnh quy định và kỳ vọng của người dùng

Ở Pháp, sắc lệnh n° 2014-1330 ngày 6 tháng 11 năm 2014 liên quan đến quyền của người dùng gửi cho cơ quan hành chính theo cách điện tử đã đặt nền tảng ban đầu cho yêu cầu phi giấy tờ. Kể từ đó, Luật ESSOC (2018), Luật 3DS (2022) và các bản hướng dẫn liên bộ liên tiếp đã tăng cường động lực này. Theo bảng xếp hạng phi giấy tờ do DINUM công bố năm 2025, hơn 87% các thủ tục hành chính cấp đầu tiên hiện có sẵn trực tuyến, nhưng chỉ có 54% trong số đó tích hợp cơ chế ký tên điện tử có giá trị pháp lý.

Những người dùng thì không còn chịu đựng được những lần qua lại giấy tờ. Một cuộc khảo sát của OpinionWay năm 2024 chỉ ra rằng 72% công dân Pháp thích ký một tài liệu hành chính trực tuyến hơn là phải đi, với điều kiện là thiết bị này đơn giản và đáng tin cậy. Không gian khách hàng ký tên đáp ứng chính xác kỳ vọng này bằng cách cung cấp một điểm truy cập duy nhất, an toàn và có thể theo dõi cho tất cả các hành động phi giấy tờ.

Những khác biệt với khu vực tư nhân

Không giống như khu vực tư nhân, các tổ chức công cộng phải tuân thủ các ràng buộc bổ sung: các hợp đồng mua sắm công do Bộ luật Lệnh Mua Hàng quy định, các quyết định phải tuân theo kiểm soát hợp pháp của văn phòng thị trưởng, các hành động dân sự được quy định bởi Bộ luật Dân sự. Mức ký tên điện tử yêu cầu khác nhau tùy thuộc vào bản chất của tài liệu: một công ước hợp tác đơn giản có thể chỉ yêu cầu ký tên điện tử nâng cao (SEA), trong khi một hành động công chứng hoặc quyết định của hội đồng thành phố trong một số trường hợp yêu cầu ký tên đủ điều kiện (SEQ) như được định nghĩa tại điều 26 của Quy định eIDAS.

Để chọn đúng mức độ phù hợp cho từng loại hành động, vui lòng tham khảo hướng dẫn hoàn chỉnh về ký tên điện tử của chúng tôi chi tiết ba mức eIDAS và các điều kiện sử dụng của chúng trong lĩnh vực công cộng.

Các bước để tạo một không gian khách hàng ký tên trong một tập thể địa phương hoặc cơ quan quản lý

Bước 1 — Lập bản đồ các luồng tài liệu và các bên liên quan

Trước khi triển khai bất kỳ công cụ nào, điều cần thiết là thực hiện một bản đồ các luồng. Giai đoạn này bao gồm việc xác định:

• Các loại tài liệu được đề cập (các quyết định, hợp đồng mua sắm công, công ước, giấy phép xây dựng, hành động nhân sự, v.v.) ;
• Những người ký kỳ nội bộ (các cấp bầu cử, giám đốc tổng quát, trưởng bộ phận) và bên ngoài (nhà thầu, hiệp hội, công dân, nhân viên của các tổ chức công cộng khác) ;
• Các khối lượng hàng năm và các thời hạn hợp đồng hoặc quy định liên quan ;
• Các hệ thống thông tin hiện có (phần mềm kinh doanh loại SEDIT, CIVIL NET, CIRIL, Berger-Levrault) mà không gian khách hàng sẽ phải giao diện.

Bản đồ này cho phép xác định phạm vi chức năng của nền tảng và tránh trùng lặp với các công cụ đã có. Nó cũng xác định mức độ bảo mật và xác thực phải thực hiện cho mỗi danh mục người dùng.

Bước 2 — Chọn giải pháp kỹ thuật phù hợp với yêu cầu của khu vực công cộng

Lựa chọn giải pháp ký tên điện tử cho khu vực công cộng tuân theo các tiêu chí cụ thể mà khu vực tư nhân không phải lúc nào cũng áp dụng với cùng mức độ nghiêm ngặt:

1. Lưu trữ có chủ quyền: dữ liệu của tổ chức công cộng phải được lưu trữ ở Pháp hoặc Liên minh Châu Âu, trên cơ sở hạ tầng được chứng nhận HDS (nếu dữ liệu sức khỏe) hoặc SecNumCloud (nếu dữ liệu nhạy cảm). Tính chất SecNumCloud của ANSSI trở thành tiêu chí khác biệt kể từ bản hướng dẫn của Thủ tướng ngày 5 tháng 7 năm 2021.
2. Tính tương thích: giải pháp phải cung cấp API REST được ghi chép đầy đủ tương thích với các tham chiếu RGI (Référentiel Général d'Interopérabilité) và RGS (Référentiel Général de Sécurité).
3. Khả năng tiếp cận RGAA: theo Luật n° 2005-102 ngày 11 tháng 2 năm 2005 và các sắc lệnh áp dụng, các cổng thông tin công cộng có thể tiếp cận được bởi công dân phải tuân thủ Référentiel Général d'Amélioration de l'Accessibilité (RGAA 4.1) ở mức tối thiểu AA.
4. Tuân thủ eIDAS: các chứng chỉ ký tên phải được cấp bởi Nhà cung cấp Dịch vụ Tín tưởng (TSP) được phê duyệt trên danh sách tín tưởng Châu Âu (Trusted List) được công bố bởi Ủy ban Châu Âu.

Để so sánh các giải pháp có sẵn trên thị trường theo những tiêu chí này, so sánh các giải pháp ký tên điện tử của chúng tôi cung cấp một lưới đánh giá phù hợp với những người mua công.

Bước 3 — Định cấu hình không gian khách hàng ký tên: xác thực và hành trình người dùng

Cấu hình không gian khách hàng ký tên dựa trên ba trụ kỹ thuật:

Xác thực của những người ký: khu vực công cộng có một lợi thế cấu trúc với FranceConnect+, thiết bị định danh kỹ thuật số quốc gia do DINUM quản lý. FranceConnect+ cho phép xác thực đáng kể hoặc cao theo ý nghĩa eIDAS, điều này làm cho các hành động được ký có thể đối chọi mà không có sự nhập nhằng. Đối với những người cung cấp dịch vụ bên ngoài (các công ty, hiệp hội), xác thực được tăng cường qua email (OTP) kết hợp với kiểm soát danh tính tài liệu có thể đủ cho các hành động cấp trung gian.

Hành trình ký tên phải được thiết kế để giảm thiểu ma sát: thông báo qua email hoặc tin nhắn SMS, truy cập trực tiếp vào tài liệu từ không gian chuyên dụng, xem nội dung trước khi ký, áp dụng chữ ký trong một hoặc hai cú nhấp chuột tùy thuộc vào mức độ yêu cầu, và xác nhận bằng chứng chỉ horodated. Đánh dấu thời gian đủ điều kiện (RFC 3161) đảm bảo tính toàn vẹn của tài liệu và ngày chắc chắn của chữ ký, những yếu tố cần thiết trong trường hợp tranh chấp.

Quản lý các phái bộ và các mạch xác thực: trong một tập thể địa phương, một hành động thường chỉ mang một chữ ký cuối cùng duy nhất, nhưng nó được tiếp trước bởi một mạch ký hiệu nội bộ. Không gian khách hàng ký tên phải cho phép định cấu hình các quy trình công việc đa bước (parapheur điện tử) với các quy tắc phái bộ tuân thủ sắc lệnh về phái bộ ký của tổ chức.

Bước 4 — Đảm bảo bảo tồn và lưu trữ chứng cứ

Một không gian khách hàng ký tên không chỉ dành cho chữ ký: nó phải đảm bảo giá trị chứng cứ của tài liệu theo thời gian. Bộ luật Hành tính (điều L. 211-1 và tiếp theo) áp đặt cho các tổ chức công cộng các thời hạn lưu trữ cụ thể tùy thuộc vào bản chất của các hành động (10 năm cho các hợp đồng mua sắm công, thời hạn không giới hạn cho các quyết định, v.v.).

Tiêu chuẩn NF Z 42-020 định nghĩa các yêu cầu của một hệ thống lưu trữ điện tử có giá trị chứng cứ (SAE). Không gian khách hàng ký tên phải giao diện với SAE của tổ chức hoặc cung cấp nên một hòm quanh đệm kỹ thuật số tuân thủ. Việc sử dụng một bên lưu trữ bên thứ ba được chứng nhận cho phép ngoại thác yêu cầu này trong khi vẫn duy trì tính có thể theo dõi được yêu cầu bởi CNIL và các tòa án hành chính.

Lưu ý rằng các tài liệu được ký vẫn có thể truy cập được bởi mỗi người ký từ không gian cá nhân của họ, phù hợp với quyền truy cập dự kiến bởi RGPD và Luật CADA.

Quản trị, đào tạo và dẫn dắt sự thay đổi trong khu vực công cộng

Cấu trúc quản trị dự án

Triển khai một không gian khách hàng ký tên là một dự án chuyển đổi tổ chức cũng như kỹ thuật. Quản trị phải liên quan:

• Hướng dẫn chung (DGS/DGA) cho sự hỗ trợ chính trị và xác nhận các hành động được đề cập ;
• Hướng dẫn các hệ thống thông tin (DSI) cho tích hợp kỹ thuật và bảo mật ;
• Ủy quyền bảo vệ dữ liệu (DPD), bắt buộc trong các tổ chức công cộng kể từ điều 37 của RGPD, để xác nhận phân tích tác động (AIPD) ;
• Dịch vụ pháp lý để lập bản đồ rủi ro và xác nhận giá trị pháp lý của mỗi loại hành động phi giấy tờ.

Một uỷ ban hướng dẫn hàng quý, kết hợp các bên liên quan này, cho phép điều chỉnh triển khai và ưu tiên các luồng để phi giấy tờ hóa dựa trên các lợi ích hoạt động được quan sát.

Đào tạo các nhân viên và những người ký bên ngoài

Việc áp dụng một không gian khách hàng ký tên dựa phần lớn trên chất lượng của dẫn dắt sự thay đổi. Các nhân viên công cộng, quen với các quy trình giấy tờ hoặc các công cụ không đồng nhất, cần một đào tạo ngắn nhưng nhắm mục tiêu: hiểu giá trị pháp lý của ký tên điện tử, biết cách xác định một tài liệu bị giả mạo, nắm vững mạch ký tên của phạm vi của họ.

Đối với những người ký bên ngoài (các công ty nhà thầu, các hiệp hội được tài trợ), một hướng dẫn sử dụng đơn giản, có thể truy cập được từ chính không gian khách hàng, làm giảm đáng kể các yêu cầu hỗ trợ. Các nền tảng hiện đại hiện nay tích hợp các hướng dẫn bối cảnh và một FAQ động trực tiếp trong quá trình ký. Trung tâm trợ giúp Certyneo chẳng hạn cung cấp các tài nguyên giáo dục có thể thích ứng với các liên lạc nội bộ của bạn.

Đo lường lợi ích và hướng dẫn bằng dữ liệu

Lợi nhuận trên đầu tư của một không gian khách hàng ký tên trong khu vực công cộng được đo trên nhiều chiều:

• Thời gian trung bình để ký: phi giấy tờ hóa làm giảm chu kỳ ký trung bình từ 7 đến 14 ngày xuống dưới 48 giờ theo phản hồi kinh nghiệm từ các tập thể địa phương tiên phong ;
• Tỷ lệ tài liệu bị mất hoặc lưu trữ không đúng: xu hướng bằng không với một SAE được giao diện ;
• Chi phí trực tiếp: in ấn, bưu chính, thời gian đưa chuyển, xử lý lại các tài liệu không tuân thủ ;
• Sự hài lòng của những người ký bên ngoài: có thể đo được thông qua một NPS tích hợp ở cuối hành trình ký.

Những chỉ số này cấp dữ liệu cho bảng điều khiển của uỷ ban hướng dẫn và biện minh cho phần mở rộng dần dần của phạm vi phi giấy tờ. Để ước tính chính xác các lợi ích tiềm năng cho tổ chức của bạn, máy tính ROI ký tên điện tử của chúng tôi cho phép một dự báo cá nhân hóa trong vòng năm phút.

Khung pháp lý áp dụng cho không gian khách hàng ký tên trong khu vực công cộng

Việc triển khai một không gian khách hàng ký tên trong một tập thể địa phương hoặc cơ quan hành chính công Pháp được thực hiện trong một corpus pháp lý dày đặc, được cấu trúc ở nhiều cấp.

Quy định eIDAS n° 910/2014 của Nghị viện Châu Âu và Hội đồng tạo nên nền tảng Châu Âu. Nó phân biệt ba mức ký tên điện tử (đơn giản, nâng cao, đủ điều kiện) và yêu cầu chỉ có ký tên đủ điều kiện mới được hưởng lợi từ một giả định về độ tin cậy tương đương với chữ ký viết tay ở tất cả các thành viên Liên minh. Đối với các hành động công cộng nhạy cảm, việc sử dụng một chứng chỉ đủ điều kiện được cấp bởi Nhà cung cấp Dịch vụ Tín tưởng (TSP) được ghi danh trên Danh sách Tín tưởng Châu Âu là bắt buộc. Quy định eIDAS 2.0 (Quy định UE 2024/1183), có hiệu lực kể từ tháng 5 năm 2024, tăng cường các yêu cầu này bằng cách giới thiệu Ví Định danh Kỹ thuật số Châu Âu (EUDIW), tích hợp của chúng trong các cổng thông tin công cộng phải hoạt động từ năm 2026-2027 theo lịch trình được Ủy ban đặt ra.

Bộ luật Dân sự, tại các điều 1366 và 1367, đặt ra các điều kiện hợp lệ của văn bản điện tử theo luật Pháp: xác định đáng tin cậy của tác giả và bảo đảm tính toàn vẹn của tài liệu. Các điều kiện này được đáp ứng bởi các cơ chế mật mã học của các chữ ký nâng cao và đủ điều kiện.

RGPD n° 2016/679 áp đặt cho bất kỳ tổ chức nào xử lý dữ liệu cá nhân (tên, email, định danh FranceConnect của những người ký) phải thực hiện một Phân tích Tác động Bảo vệ Dữ liệu (AIPD) trước khi triển khai không gian khách hàng, tuân theo điều 35 của Quy định. Yêu cầu này được tăng cường cho các tổ chức công cộng. Sự chỉ định của một DPD (điều 37) là bắt buộc cho tất cả các cơ quan công cộng.

Référentiel Général de Sécurité (RGS v2.0), được ANSSI xuất bản, quy định các mức bảo mật yêu cầu cho các dịch vụ trực tuyến của Nhà nước và các tập thể địa phương. Các nền tảng ký được triển khai trong bối cảnh này phải được kiểm toán và, tùy thuộc vào mức độ nhạy cảm của dữ liệu, được xác định hoặc chứng nhận bởi ANSSI.

Các tiêu chuẩn ETSI điều chỉnh về mặt kỹ thuật các định dạng chữ ký: ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) và ETSI EN 319 162 (PAdES cho các PDF). Định dạng PAdES được khuyến nghị cho các tài liệu công cộng do tính dễ đọc của nó trong các trình xem PDF tiêu chuẩn.

Chỉ thị NIS2 (UE 2022/2555), được chuyển đổi thành luật Pháp bởi Luật n° 2024-449 ngày 21 tháng 5 năm 2024, mở rộng các yêu cầu an ninh mạng cho các thực thể thiết yếu và quan trọng, trong đó có rất nhiều tổ chức công cộng (các thành phố có hơn 30.000 cư dân, các bộ, các vùng, các cơ sở y tế). Các nền tảng ký phải được ghi vào chính sách bảo mật của các hệ thống thông tin (PSSI) của tổ chức và phải được khai báo về sự cố với ANSSI trong trường hợp vi phạm.

Cuối cùng, Bộ luật Lệnh Mua Hàng (điều R. 2132-1 và tiếp theo) áp đặt phi giấy tờ hóa các hợp đồng mua sắm công trên 40.000 € HT và yêu cầu ký tên điện tử các hành động cam kết. Việc không tuân thủ yêu cầu này làm cho tổ chức phải đối mặt với nguy cơ vô hiệu hóa các hành động và các hình phạt trong quá trình kiểm soát hợp pháp của văn phòng thị trưởng.

Kịch bản sử dụng: không gian khách hàng ký tên trong hành động trong khu vực công cộng

Kịch bản 1 — Một cộng đồng đô thị phi giấy tờ hóa các công ước hợp tác của nó

Một cộng đồng đô thị nhóm lại khoảng hai mươi thành phố quản lý hàng năm hơn 350 công ước hợp tác với các hiệp hội địa phương, các cơ sở giáo dục và các nhà thầu tư nhân. Trước khi triển khai một không gian khách hàng ký tên, mỗi công ước yêu cầu trung bình 18 ngày giữa xác thực nội bộ và ký của cả hai bên, với tỷ lệ mất tài liệu ước tính ở mức 4% (tài liệu được lưu trữ không đúng hoặc các phiên bản không được ký được lưu giữ nhầm).

Sau khi triển khai một không gian khách hàng ký tên tích hợp vào hệ thống thông tin kinh doanh hiện có, thời gian trung bình để ký đã giảm xuống 3,5 ngày. Những hiệp hội đối tác truy cập không gian của họ thông qua FranceConnect, nhận được thông báo email ngay khi một tài liệu sẵn sàng ký và tìm tất cả các công ước của họ được lưu trữ trong không gian cá nhân của họ. Tỷ lệ mất tài liệu bằng không kể từ khi triển khai. Tiết kiệm hàng năm ước tính trên các chi phí in ấn, bưu chính và xử lý lại hành chính vượt quá 15.000 €, chưa kể đến lợi ích về thời gian nhân viên.

Kịch bản 2 — Một bộ phi giấy tờ hóa các hành động mua sắm công của các hướng dẫn của nó

Một hội đồng bộ xử lý hơn 1.200 hợp đồng mua sắm công mỗi năm (tất cả các ngưỡng được kết hợp) đã phải đối mặt với các thời hạn ký không tương thích với các ràng buộc hoạt động của các hướng dẫn kinh doanh của nó. Mạch giấy tờ liên quan đến tối đa 7 can thiệp nội bộ (hướng dẫn, ký pháp lý, ký tài chính, ký của chủ tịch hoặc phó chủ tịch được ủy quyền) trước khi truyền tải cho nhà thầu.

Việc triển khai một parapheur điện tử tích hợp vào không gian khách hàng ký tên đã cho phép cấu hình các quy trình công việc đa bước với phái bộ tự động trong trường hợp vắng mặt. Thời gian trung bình của mạch nội bộ đã giảm từ 11 ngày xuống 2,8 ngày. Bộ cũng đã nhận thấy giảm 60% các yêu cầu gọi điện thoại được gửi đến các dịch vụ để biết tiến độ của các chữ ký. Không gian khách hàng được cung cấp cho các nhà thầu bên ngoài cho phép họ ký các hành động cam kết trực tiếp từ giao diện của họ, với một chứng chỉ ký được đánh dấu thời gian tự động được lưu trữ trong SAE của bộ.

Kịch bản 3 — Một