Tải xuống và lưu trữ các tài liệu đã ký cho một thị trường công cộng

Giới thiệu: tại sao lưu trữ các tài liệu đã ký lại quan trọng trong các thị trường công cộng về cung cấp hàng hóa

Giành được một thị trường công cộng về cung cấp hàng hóa chỉ là bước đầu tiên trong một quá trình hành chính và pháp lý đòi hỏi. Một khi các tài liệu hợp đồng được ký điện tử — biên bản cam kết, CCAP, CCTP, đơn đặt hàng — vẫn cần phải tải xuống, bảo lưu và lưu trữ chúng tuân thủ nghiêm ngặt các nghĩa vụ pháp lý hiện hành. Ở Pháp, những nghĩa vụ này kết hợp luật đấu thầu công, quy định eIDAS số 910/2014 và các tiêu chuẩn lưu trữ điện tử có thể chứng minh được. Bỏ qua bước này tiếp xúc cả người mua công cộng và người giữ với các rủi ro tranh chấp đáng kể: tranh cãi về giá trị chứng minh của hợp đồng, từ chối một cuộc kiểm toán của Tòa án Tính toán, hoặc mất quyền trong trường hợp tranh chấp về thực hiện thị trường. Bài viết này hướng dẫn bạn từng bước để tải xuống và lưu trữ các tài liệu đã ký của bạn một cách hoàn toàn tuân thủ.

---

Hiểu được khung pháp lý để lưu trữ trong các thị trường công cộng

Thời hạn bảo lưu được áp đặt bởi Bộ luật Đấu thầu công

Bộ luật Đấu thầu công (CCP) và hướng dẫn của Sở Lưu trữ Pháp đặt ra các thời hạn bảo lưu tối thiểu cho các tài liệu hợp đồng. Đối với một thị trường công cộng về cung cấp hàng hóa, quy tắc chung áp đặt bảo lưu 10 năm kể từ khi kết thúc thị trường, phù hợp với hướng dẫn DAF/DPACI/RES/2009/018. Thời hạn này phù hợp với thời hạn khiếu nại dân sự về trách nhiệm hợp đồng quy định trong điều 2224 của Bộ luật Dân sự.

Đối với các thị trường vượt quá các ngưỡng Châu Âu (hiện là 143.000€ không bao gồm thuế cho các nhà mua công cộng trung tâm và 221.000€ không bao gồm thuế cho các thực thể mua khác theo các quy định được ủy quyền của Ủy ban Châu Âu có hiệu lực vào năm 2026), yêu cầu truy xuất hoàn chỉnh của thủ tục, bao gồm các trao đổi được hợp pháp hóa trên các nền tảng hợp pháp hóa (hồ sơ người mua).

Giá trị chứng minh của chữ ký điện tử theo eIDAS

Quy định eIDAS số 910/2014 phân biệt ba cấp độ chữ ký điện tử: đơn giản, nâng cao và được xác nhận. Trong bối cảnh các thị trường công cộng về cung cấp hàng hóa, chữ ký điện tử nâng cao hoặc được xác nhận được khuyến nghị — thậm chí được yêu cầu bởi một số nhà mua công cộng — để đảm bảo tính toàn vẹn và tính xác thực của tài liệu đã ký.

Chữ ký điện tử được xác nhận theo eIDAS được hưởng một giả định pháp lý về độ tin cậy theo điều 25 của quy định: nó có hiệu lực pháp lý tương đương với chữ ký viết tay ở tất cả các quốc gia thành viên EU. Để bảo tồn giá trị chứng minh này theo thời gian, bắt buộc phải thực hiện đánh dấu thời gian được xác nhận và tích hợp tệp đã ký vào một hệ thống lưu trữ điện tử (SAE) phù hợp.

Yêu cầu bảo lưu dấu seal và siêu dữ liệu

Tải xuống một PDF đã ký là không đủ. Để đảm bảo giá trị pháp lý của kho lưu trữ, bạn phải bảo lưu:

• Tệp đã ký ở định dạng PAdES (PDF Advanced Electronic Signatures, tiêu chuẩn ETSI EN 319 132) hoặc XAdES cho các tệp XML;
• Chuỗi chứng chỉ hoàn chỉnh của chứng chỉ người ký;
• Mã thông báo đánh dấu thời gian được xác nhận (RFC 3161);
• Siêu dữ liệu giao dịch: danh tính của người ký, ngày và giờ UTC, địa chỉ IP, mã định danh phiên ký.

Một xuất PDF đơn giản mà không có các yếu tố này sẽ không cho phép chứng minh tính xác thực của tài liệu trước một thẩm phán hoặc trong quá trình kiểm tra Tòa án Tính toán.

---

Bước 1 — Tải xuống các tài liệu đã ký từ nền tảng ký

Xác định các định dạng xuất khẩu có sẵn

Sau khi tất cả các bên ký (nhà mua công cộng và người giữ), nền tảng ký điện tử của bạn phải cho phép bạn tải xuống một số yếu tố:

1. Tài liệu đã ký ở định dạng PAdES (PDF tích hợp các chữ ký trong siêu dữ liệu của tệp);
2. Báo cáo ký hoặc "chứng chỉ ký" — một tệp riêng biệt liệt kê những người ký, dấu thời gian, dấu vân tay mật mã (hash SHA-256) và tham chiếu đến các chứng chỉ được sử dụng;
3. Kho lưu trữ ZIP hoàn chỉnh bao gồm tài liệu + báo cáo + bằng chứng kiểm toán.

Chẳng hạn, Certyneo cho phép xuất bằng một clic một kho lưu trữ ZIP được tiêu chuẩn hóa chứa tất cả các yếu tố này cho mỗi tác vụ của thị trường của bạn. Để hiểu rõ hơn về sự khác biệt giữa các giải pháp trên thị trường, vui lòng tham khảo so sánh các giải pháp ký điện tử của chúng tôi.

Xác minh tính toàn vẹn của tệp được tải xuống

Trước khi lưu trữ, bắt buộc phải kiểm soát tính hợp lệ của chữ ký trên tệp đã tải xuống. Việc xác minh này có thể thực hiện:

• Qua Adobe Acrobat Reader (bảng điều khiển "Chữ ký");
• Qua công cụ trực tuyến của LTANS hoặc Ủy ban Châu Âu (danh sách tin cậy TSL);
• Qua API xác nhận của nhà cung cấp chữ ký của bạn.

Một tệp hợp lệ sẽ hiển thị trạng thái ký "Valid" với chuỗi tin cậy hoàn chỉnh đến một nhà cung cấp dịch vụ tin cậy được xác nhận (QSTP) được ghi trên danh sách tin cậy Châu Âu.

Tổ chức đặt tên tệp

Áp dụng một quy ước đặt tên có hệ thống để nhanh chóng tìm lại tài liệu của bạn:

``` [YYYY-MM-DD]_[N°Marché]_[Type-Doc]_[Signé].[extension] Ví dụ: 2026-05-26_2026-MP-042_Acte-Engagement_Signé.pdf ```

Sự chính xác này tạo điều kiện thuận lợi cho các cuộc kiểm toán và tìm kiếm trong GED (Quản lý Tài liệu Điện tử) của bạn.

---

Bước 2 — Lưu trữ các tài liệu đã ký phù hợp với các tiêu chuẩn

Chọn giữa bảo lưu trong GED hoặc SAE được phê duyệt

Có hai cách tiếp cận lớn để lưu trữ các tài liệu đã ký trong khuôn khổ các thị trường công cộng:

GED được bảo mật: phù hợp với các thị trường có ít rủi ro và các cơ cấu có cơ sở hạ tầng CNTT mạnh mẽ. Nó đảm bảo tính toàn vẹn của tệp bằng hashing nhưng không phải lúc nào cũng cung cấp giả định pháp lý của SAE được chứng thực.

Hệ thống Lưu trữ Điện tử (SAE) NF Z 42-013 / ISO 14641: tiêu chuẩn tham chiếu để lưu trữ có thể chứng minh được ở Pháp. SAE được chứng thực đảm bảo bất biến của lưu trữ, truy xuất của các quyền truy cập và di chuyển định dạng trong thời gian dài. Đây là giải pháp được khuyến nghị cho các thị trường công cộng có ý nghĩa.

Trong khu vực công cộng, các nhà khai thác có thể dựa vào Chương trình Vitam (phần mềm lưu trữ mã nguồn mở được phát triển bởi các bộ Pháp) hoặc trên các nhà cung cấp lưu trữ bên thứ ba được phê duyệt.

Đảm bảo tính bền vững của chữ ký theo thời gian: tái đánh dấu thời gian

Một trong những rủi ro thường bị bỏ qua là hết hạn của các chứng chỉ ký. Một chứng chỉ ký điện tử được xác nhận thường có thời hạn sử dụng giới hạn từ 1 đến 3 năm. Tuy nhiên, thị trường của bạn phải được bảo lưu trong 10 năm.

Giải pháp kỹ thuật là tái đánh dấu thời gian định kỳ (còn được gọi là "archival time-stamp" trong tiêu chuẩn CAdES/PAdES-LTA, được định nghĩa bởi ETSI EN 319 122). Hoạt động này bao gồm việc gắn một dấu thời gian được xác nhận mới vào kho lưu trữ trước khi dấu thời gian trước đó hết hạn, do đó duy trì chuỗi tin cậy mật mã.

SAE hoặc nhà cung cấp ký của bạn phải tự động hóa hoạt động này. Certyneo tích hợp sẵn cơ chế này cho lưu trữ của các tài liệu đã ký, phù hợp với tiêu chuẩn PAdES cấp LTA (Long-Term Archival).

Quản lý quyền truy cập và truy xuất tương tác

Phù hợp với RGPD số 2016/679 (điều 32) và các thực hành tốt nhất của an ninh hệ thống thông tin, quyền truy cập vào lưu trữ các tài liệu đã ký phải được kiểm soát và theo dõi:

• Xác thực mạnh (MFA) cho người dùng được phép;
• Nhật ký truy cập có dấu thời gian ghi lại mỗi lần xem, tải xuống hoặc sửa đổi;
• Mã hóa khi còn lại và trong quá trình truyền (TLS 1.3, AES-256);
• Kế hoạch sao lưu tuân theo quy tắc 3-2-1 (3 bản sao, 2 phương tiện khác nhau, 1 ở vị trí ngoài trang web).

Đối với các nhà mua công cộng quản lý khối lượng lớn thị trường, nên khám phá khả năng ký điện tử trong doanh nghiệp tích hợp các yêu cầu này một cách tự nhiên.

---

Bước 3 — Tổ chức quy trình làm việc quản lý sau ký cho việc cung cấp

Tích hợp lưu trữ vào quy trình mua hàng-cung cấp của bạn

Quản lý các thị trường công cộng về cung cấp hàng hóa thường bao gồm một số tác vụ liên tiếp sau khi ký biên bản cam kết ban đầu: đơn đặt hàng, sửa đổi, biên bản tiếp nhận, hóa đơn được chấp nhận. Mỗi một trong những tài liệu này có thể là một tài liệu hợp đồng hoặc bằng chứng.

Nên cấu trúc cây lưu trữ của bạn theo thị trường, sau đó theo loại tài liệu:

``` /Marchés-Publics/ └── 2026-MP-042-Fournitures-Informatiques/ ├── 01_Procédure/ ├── 02_Contractuels/ │ ├── Acte-Engagement_Signé.pdf │ ├── CCAP_Signé.pdf │ └── CCTP_Signé.pdf ├── 03_Exécution/ │ ├── BDC-001_Signé.pdf │ └── PV-Réception-001_Signé.pdf └── 04_Factures/ ```

Tự động hóa các nhắc nhở về hết hạn và xóa

Tham số các cảnh báo tự động trong GED hoặc SAE của bạn để:

• Nhắc nhở tái đánh dấu thời gian 6 tháng trước khi hết hạn dấu thời gian được xác nhận cuối cùng;
• Nhắc nhở xóa vào cuối thời hạn pháp luật bảo lưu (với xác nhận của con người trước khi xóa);
• Cảnh báo về tính toàn vẹn trong trường hợp cố gắng sửa đổi kho lưu trữ được bảo vệ.

Những tự động hóa này giảm đáng kể khối lượng hành chính và rủi ro quên, đặc biệt là đối với các cơ cấu quản lý nhiều thị trường đồng thời. Để đánh giá lợi nhuận tiềm năng từ việc tăng năng suất trong tổ chức của bạn, bạn có thể sử dụng máy tính ROI của ký điện tử của chúng tôi.

Ghi lại chính sách lưu trữ trong PAQ hoặc thủ tục nội bộ

Đối với các nhà mua tuân thủ các cuộc kiểm toán thường xuyên (bộ sưu tập, bệnh viện, cơ sở giáo dục công cộng), nên chính thức hóa một Chính sách Lưu trữ và Bảo lưu (PAC) ghi lại:

• Các loại tài liệu phải lưu trữ;
• Thời hạn bảo lưu theo danh mục;
• Những người chịu trách nhiệm quản lý lưu trữ;
• Các công cụ và nhà cung cấp được sử dụng;
• Các quy trình kiểm tra tính toàn vẹn định kỳ.

Tài liệu này chứng minh sự cẩn trọng trong trường hợp tranh chấp và tạo điều kiện thuận lợi cho việc hướng dẫn các cộng tác viên mới. Trung tâm trợ giúp Certyneo cung cấp các mẫu thủ tục được điều chỉnh cho các thị trường công cộng.

Khung pháp luật áp dụng cho lưu trữ các tài liệu thị trường công cộng được ký điện tử

Luật dân sự và giá trị chứng minh

Bộ luật Dân sự Pháp đặt nền tảng cho giá trị chứng minh của văn bản điện tử. Điều 1366 quy định rằng "văn bản điện tử có cùng lực chứng minh với văn bản trên giấy tờ, với điều kiện là người phát hành có thể được xác định đầy đủ và nó được thành lập và bảo lưu theo những cách bảo đảm tính toàn vẹn của nó". Điều 1367 định nghĩa chữ ký điện tử là "sử dụng một quy trình xác định đáng tin cậy đảm bảo sự liên hệ của nó với tác vụ mà nó gắn liền".

Hai điều này thiết lập rằng bảo lưu theo những cách bảo đảm tính toàn vẹn không phải là một lựa chọn, mà là một điều kiện không thể thiếu cho giá trị chứng minh của kho lưu trữ.

Quy định eIDAS số 910/2014 và các tác vụ thực thi của nó

Quy định eIDAS số 910/2014 (và sự phát triển của eIDAS 2.0 đang được chuyển hóa) cấu thành nền tảng pháp lý của Châu Âu. Điều 25 của nó thiết lập giả định về độ tin cậy của chữ ký điện tử được xác nhận, trong khi các điều 41 và 42 của nó định nghĩa các yêu cầu áp dụng cho các dịch vụ tin cậy được xác nhận, đặc biệt là các nhà cung cấp dịch vụ đánh dấu thời gian điện tử được xác nhận.

Tiêu chuẩn ETSI EN 319 132 (XAdES), ETSI EN 319 122 (CAdES) và ETSI EN 319 162 (PAdES) định nghĩa các định dạng kỹ thuật của chữ ký điện tử nâng cao và được xác nhận bảo tồn giá trị chứng minh trong thời gian dài. Cấp độ PAdES-LTA (Long-Term Archival) là cấp độ được khuyến nghị cho lưu trữ các thị trường công cộng.

Bộ luật Đấu thầu công và hướng dẫn lưu trữ

Sắc lệnh số 2018-1074 quy định Bộ luật Đấu thầu công và Nghị định số 2016-360 liên quan đến các thị trường công cộng đặt ra khung pháp lý cho sự hợp pháp hóa. Hướng dẫn DAF/DPACI/RES/2009/018 của Sở Lưu trữ Pháp xác định thời hạn bảo lưu áp dụng cho các tài liệu thị trường công cộng: 10 năm sau khi kết thúc thị trường cho các hợp đồng, 5 năm cho các tài liệu kế toán liên quan.

RGPD số 2016/679

Quy định chung về bảo vệ dữ liệu (RGPD) áp dụng ngay khi các tài liệu được lưu trữ chứa dữ liệu cá nhân (tên của người ký, tọa độ, v.v.). Điều 5(1)(e) áp dụng nguyên tắc giới hạn thời hạn bảo lưu: dữ liệu không thể được bảo lưu vượt quá thời hạn cần thiết cho các mục đích mà chúng được xử lý. Một bản ghi các hoạt động xử lý (điều 30) phải ghi lại lưu trữ các tài liệu hợp đồng. Vào cuối thời hạn pháp luật, quy trình xóa hoặc ẩn danh phải được thực hiện.

Rủi ro pháp lý trong trường hợp không tuân thủ

Thiếu lưu trữ tuân thủ tiếp xúc với một số rủi ro lớn: không tiếp nhận bằng chứng trước các tòa án hành chính hoặc dân sự, từ chối chứng chỉ trong quá trình kiểm tra của Tòa án Tính toán hoặc phòng khu vực tính toán, các hình phạt CNIL có thể lên tới 4% doanh thu hàng năm toàn cầu trong trường hợp vi phạm RGPD, và thực hiện trách nhiệm cá nhân của các nhân viên công cộng có nhiệm vụ bảo lưu các kho lưu trữ công cộng.

Các tình huống sử dụng cụ thể để lưu trữ các thị trường công cộng về cung cấp

Tình huống 1 — Một cộng đồng lãnh thổ quản lý khoảng hai mươi thị trường cung cấp mỗi năm

Một cộng đồng kích thước trung bình (khoảng 50.000 cư dân) thông qua mỗi năm hai mươi thị trường công cộng về cung cấp: tiêu dùng thông tin, nội thất văn phòng, tiếp liệu trường học cho các cơ sở giáo dục của nó, sản phẩm vệ sinh. Trước sự hợp pháp hóa, các tài liệu hợp đồng giấy được lưu trữ trong các tệp được lưu trữ về mặt vật lý, với rủi ro mất mát hoặc xuống cấp thực tế.

Bằng cách triển khai một giải pháp ký điện tử được xác nhận được ghép nối với SAE được chứng thực NF Z 42-013, cộng đồng tải xuống tự động mỗi tài liệu đã ký ở định dạng PAdES-LTA và tích hợp nó vào cây lưu trữ hợp pháp hóa của nó. Các kiểm tra tính toàn vẹn được tự động hóa hàng quý. Kết quả: giảm khoảng 70% thời gian dành cho quản lý tài liệu sau ký (ước tính phù hợp với các phản hồi kinh nghiệm được công bố bởi DINUM trong bảng xếp hạng sự hợp pháp hóa 2025) và không có tài liệu nào không thể truy cập được trong hai cuộc kiểm toán gần đây của phòng khu vực tính toán.

Tình huống 2 — Một nhóm mua hàng bệnh viện thông qua các thị trường cung cấp thiết bị y tế

Một nhóm bệnh viện gồm nhiều cơ sở y tế (khoảng 1.200 giường tổng cộng) tập trung các lần mua của nó về tiêu dùng y tế và thiết bị y tế không vô trùng thông qua một nhóm mua hàng. Mỗi thị trường liên quan đến một số người ký: người điều phối nhóm, giám đốc mua hàng và đôi khi một đại diện của ARS.

Mục tiêu lưu trữ được khuếch đại tại đây bởi các nghĩa vụ sektoral cụ thể để chăm sóc (truy xuất của thiết bị y tế, kiểm tra của ANSM) và theo sự đa dạng của các cơ sở thành viên chung. Bằng cách dựa vào một nền tảng ký tích hợp một mô-đun lưu trữ với các quyền truy cập được phân biệt theo cơ sở, nhóm đảm bảo rằng mỗi bệnh viện thành viên có thể truy cập các tài liệu của riêng nó trong khi duy trì một kho lưu trữ trung tâm được bảo mật. Thời gian xử lý hành chính sau phân bổ được giảm từ 3 ngày xuống dưới 4 giờ để phân phối và lưu trữ các tài liệu hợp đồng.

Tình huống 3 — Một công ty công nghiệp trung và nhỏ được giao một thị trường công cộng về cung cấp

Một công ty kích thước trung bình của khu vực công nghiệp (khoảng 400 nhân viên, 80 triệu euro doanh thu) thường xuyên thắng các thị trường công cộng về cung cấp