De nombreuses entreprises commencent à se doter de moyens de signature électronique pour faire face à leurs nouvelles obligations contractuelles ou réglementaires : factures dématérialisées, marchés publics, autres flux électroniques avec leurs clients, leurs fournisseurs, les autorités, les organismes de contrôle ou d'homologation, … . Ce mouvement va se renforcer avec les projets de gestion des réponses dématérialisées aux marchés publics pour les entreprises qui souhaitent être prêtes pour le 1er janvier 2010 date à laquelle l’obligation de répondre par voie électronique va s’appliquer aux achats informatiques et sera possible pour les autres achats..
La problématique :
Ces entreprises, contrairement aux PME, sont organisées en équipes spécialisées par groupe de clients pour répondre aux appels d'offres. Chaque équipe a ainsi à faire à une ou deux plates-formes de dématérialisation sur lesquelles elles vont être formées. La difficulté est du côté du responsable autorisé à engager l'entreprise qui se retrouve à potentiellement devoir signer électroniquement sur une vingtaine de plates-formes distinctes. En effet, il reste une bonne vingtaine d’acteurs présents sur ce marché des solutions de dématérialisation des marchés publics sans compter les plates-formes mises en oeuvre par les acheteurs eux-mêmes.
Piste proposée :
Pour faire face à cette difficulté, nous proposons la voie suivante :
- l'entreprise va utiliser un parapheur en ligne (du type SAAS ou toute solution ayant une politique de gestion de la confiance numérique publiée) qui générera des signatures électroniques embarquant à la fois la signature et l'horodatage. Nota : il ne s'agit pas ici d'un parapheur automatique, une action d'une personne physique, signataire des documents et titulaire d'un certificat sur support cryptographique étant requise. Le format de signature proposé est XAdES-T, il pourra être complété pour intégrer la vérification de la qualité du certificat électronique (de non révocation, ...) pour être finalement conforme à la norme XADES-A pour les acteurs qui souhaiteront archiver dans la durée leurs documents signés, en conformité avec le « III.4.2. Exigences d’interopérabilité » du RGS_Service_Signature_2.2.
- l'entreprise va utiliser un parapheur en ligne (du type SAAS ou toute solution ayant une politique de gestion de la confiance numérique publiée) qui générera des signatures électroniques embarquant à la fois la signature et l'horodatage. Nota : il ne s'agit pas ici d'un parapheur automatique, une action d'une personne physique, signataire des documents et titulaire d'un certificat sur support cryptographique étant requise. Le format de signature proposé est XAdES-T, il pourra être complété pour intégrer la vérification de la qualité du certificat électronique (de non révocation, ...) pour être finalement conforme à la norme XADES-A pour les acteurs qui souhaiteront archiver dans la durée leurs documents signés, en conformité avec le « III.4.2. Exigences d’interopérabilité » du RGS_Service_Signature_2.2.
- une notice indiquera à l'acheteur public (ou autre destinataire ultérieur) le moyen de vérifier les signatures électroniques :
- soit en cliquant sur un lien qui le conduit sur le service de vérification du service parapheur en ligne, ce service étant en libre accès et sans enregistrement préalable
- soit en utilisant ses propres outils s'ils sont capables d'interpréter les signatures XAdES-T via sa plate-forme ou via tout autre moyen
- les technologies employées pour le parapheur utilisé par l'acteur économique devront avoir été qualifiées par l'ANSSI : comme cela est déjà le cas pour 3 d'entres-elles : http://www.ssi.gouv.fr/archive/fr/politique_produit/catalogue/inventaire/Signature.htm, à savoir : Adsignerweb, Applatoo et FastSignature.
Cette proposition a l'avantage de permettre :
1- aux dirigeants de PME de répondre directement par signature sur les plates-formes de dématérialisation des appels d'offre si elles le souhaitent (dans la mesure où ces plates-formes respectent le RGS)
1- aux dirigeants de PME de répondre directement par signature sur les plates-formes de dématérialisation des appels d'offre si elles le souhaitent (dans la mesure où ces plates-formes respectent le RGS)
2- aux dirigeants des plus grandes structures d'avoir à maîtriser un seul parapheur électronique qui est généralisable aux autres besoins de signature électronique de l’entreprise
3- à l'acheteur public de pas avoir d'incidents sur les ouvertures de plis tout en ayant un moyen efficace de vérification des signatures
4- d'encourager la convergence des plates-formes de dématérialisation en termes de format de signature, ainsi que celle des parapheurs électroniques commercialisables auprès des entreprises
5- de contribuer à la diffusion et à la facilitation de la conservation (archivage électronique) grâce à la signature électronique qui pourra être complétée pour être conforme à la norme XADES-A.
6- de préparer l'interopérabilité en Europe du commerce électronique et des flux d'achat public.
Pour résumer, il y a donc deux options possibles pour les entreprises pour répondre de façon dématérialisée aux appels d'offres, à savoir :
Option 1- réponse en ligne avec le parapheur de la plate-forme de l'acheteur (faute d'avoir choisi une solution de signature autonome respectant le RGS ou si la plate-forme de l'acheteur est conforme au RGS)
Option 1- réponse en ligne avec le parapheur de la plate-forme de l'acheteur (faute d'avoir choisi une solution de signature autonome respectant le RGS ou si la plate-forme de l'acheteur est conforme au RGS)
Option 2- réponse en ligne avec une signature faite sur un parapheur électronique conforme aux spécifications décrites ci-dessus.
A partir de 2010 l'ensemble des entreprises, des acheteurs publics, l'état auront besoin d'être capable de signer électroniquement des documents, de vérifier les signatures, d'archiver l'ensemble, dans le respect des règles de la confiance numérique qui sont précisées dans le RGS pour la France, et dans les programmes européens pour la France et les autres pays de l'Europe des 27 : Peppol, ...
Le fait de sortir la signature des plates-formes de dématérialisation va simplifier la tâche des opérateurs et en encourager d'autres acteurs à proposer des solutions autonomes de parapheurs électroniques qui sauront signer les marchés publics, les décisions, les factures, ... bref tous les échanges électroniques qu'ils soient commerciaux, contractuels, réglementaires.
Le fait de sortir la signature des plates-formes de dématérialisation va simplifier la tâche des opérateurs et en encourager d'autres acteurs à proposer des solutions autonomes de parapheurs électroniques qui sauront signer les marchés publics, les décisions, les factures, ... bref tous les échanges électroniques qu'ils soient commerciaux, contractuels, réglementaires.
Bruno Boutteau & Thierry Amadieu
Aucun commentaire:
Enregistrer un commentaire