Approchés par la DAJ "direction des affaires juridiques", lors de son élaboration, nous avions insisté pour que l’utilisation de la signature électronique soit aussi aisée que la signature papier, c’est à dire qu’il y ait libre choix du certificat et du support de signature. C’est désormais chose faite avec ce nouvel arrêté, qui au demeurant, se met en conformité avec le droit européen sur la validité de certificats étrangers. Nous avions ensuite attiré l’attention de la DAJ sur l’abrogation indispensable de l’arrêté du 28 août 2006 en contradiction avec le droit communautaire puisqu’il ne connaissait que les certificats de la PRIS.
Concernant les modalités d’application, l’arrêté est applicable au 1er octobre 2012. Entre cette date et jusqu’au 18 mai 2013 date d’entrée en vigueur du RGS, les certificats PRIS V1 pourront encore être utilisés mais ensuite ils disparaitront.
Commentaires de l’arrêté :
1. Quels certificats de signature ?L’article 2 vient ouvrir le champ des certificats recevables. Désormais, l’usage des certificats de signature dans les marchés publics n’est plus limité à la liste des certificats agréés de la liste PRIS V1 . L’entrée en vigueur du RGS le 19 mai 2013 suppose la fin de cette disposition.
Tout certificat de signature conforme au RGS, référentiel général de sécurité ou présentant des conditions de sécurité équivalentes pour les certificats étrangers est accepté. Voir notre notre article sur la vérification de la qualité des certificats étrangers avec PEPPOL (*)
En clair, trois catégories de certificats sont acceptées :
- ceux appartenant à la liste de confiance française ;
- ceux appartenant à une liste de confiance d’un autre État membre (pour les certificats qualifiés équivalents au niveau 2 ou 3 du RGS) ;
- ceux n’appartenant pas à une liste de confiance, délivrés par une autorité de certification qui répondent à des normes équivalentes à celles du référentiel général de sécurité . L’opérateur économique est libre d’utiliser le certificat de son choix, pourvu que celui-ci remplisse les obligations minimales du référentiel de sécurité (RGS).Les profils d’acheteurs (les plates-formes de dématérialisation) ont jusqu’au 19 mai 2013 pour se mettre en conformité avec les spécifications techniques qui en découlent pour utiliser les produits de signature électronique conformes au RGS.
2. Qu’est-ce que le référentiel général de sécurité (RGS) ?Le RGS est un ensemble de normes fixées par la DGME que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique ; identification, signature, confidentialité et horodatage. C’est lui qui par exemple fixe le niveau 3 de sécurité exigé pour les signatures de marchés publics.
__ 3. Quels formats de signature ?
__ Le format de signature doit être conforme au RGI . L’article 3 de l’arrêté prévoit en outre, que soient acceptés les formats de signature avancés : XAdES, CAdES et PAdES, conformément à la décision de la Commission européenne de février 2011. Ces trois formats doivent être privilégiés mais ne sont pas exclusifs d’autres formats qui pourraient être acceptés.
4. Quel outil de signature ?L’article 4 dispose que le signataire utilise l’outil de son choix. Tout outil de signature proposant un certificat conforme au RGS et un format de signature de type XAdES, CAdES et PAdES est dont recevable par la plate-forme.
L’acheteur ne peut plus imposer l’emploi exclusif de l’outil de signature de la plate-forme. Cela était une source de contentieux qui donna lieu à une jurisprudence récente (**)
En revanche, l’opérateur économique utilisant un autre outil que celui de la plate-forme doit transmettre gratuitement les éléments permettant de procéder à la vérification de la validité de la signature et de l’intégrité du document (qu’il n’a pas été modifié depuis sa signature). Ce n’est pas l’acheteur proprement dit, mais son profil d’acheteur c’est à dire sa plate-forme, qui procèdera à la vérification. Que veut dire « vérifier la validité de la signature » ? Cela veut dire pouvoir vérifier au moins :
- L’identité du signataire
- L’appartenance du certificat de signature à l’une des trois catégories de certificats mentionnés ci-dessus;
- Une politique de certification conforme au moins aux niveaux étoilés du RGS
- Le respect du format de signature ;
- Le caractère non échu ou non révoqué du certificat ;
- L’intégrité du fichier signé.
Dans le cas d’un certificat référencé sur l’une des liste mentionnées plus haut Etat ou TSL Européenne, la sécurité est présumée et les seules vérifications à effectuer sont celles du niveau de sécurité. Pour les certificats non listés, c’est-à-dire pouvant émaner de pays tiers, il faudra prouver la correspondance avec le niveau RGS dans ce cas l’opérateur transmet les éléments de vérification complémentaires. Là encore PEPPOL peut aider dans cette vérification (*).
L’opérateur économique qui signe avec les outils de signature de la plate-forme est dispensé de l’envoi de la procédure de vérification de la signature.
5. Possibilité d’utiliser un parapheur électronique
L’article 6 de l’arrêté autorise la signature électronique au moyen d’un parapheur électronique. Un parapheur électronique est un outil qui permet le regroupement de documents à valider ou à signer, la signature d’un même document par plusieurs signataires sans en altérer l’intégrité, par une utilisation aussi bien locale qu’en ligne. Cet outil met fin à la difficulté rencontrée par le fait que le signataire du marché était rarement celui qui envoyait la candidature et l’offre par électronique.
Conclusion : cet arrêté permet une modernisation et une avancée de la dématérialisation des marchés publics. Il banalise et facilite l’utilisation de la signature électronique dans les marchés publics, en toute sécurité. Il met aussi la France en état de pouvoir faire face aux mesures de relance de la dématérialisation par la Commission européenne dans les prochaines directives marchés publics. Il entre en vigueur le 1er octobre 2012.
Thierry AMADIEU et Thierry BEAUGE
- (1) Les documents de référence de l'administration électronique
- (*) voir article du blog Nouvelachat sur la vérification des certificats étrangers avec PEPPOL et la correspondance avec le RGS
- (2) EU Trusted Lists of Certification Service Providers
- (3)L’arrêté impose en ce cas au signataire de transmettre les éléments nécessaires à la vérification, en plus des éléments nécessaires à la vérification de la validité de la signature elle même. Par exemple l’adresse du site internet de référencement dans le pays tiers, une preuve de la qualification du prestataire ou du produit, l’adresse de l’autorité de certification qui a délivré le certificat de signature, qui mentionne la politique de certification. Voir sur ce point , note de renvoi (*).
- (4) Direction Générale de la modernisation de l’État du MINEFI.
- (5) RGI : référentiel général d’interopérabilité.
- (**) Ordonnance de référé du 10 octobre 2010, Tribunal administratif de Bordeaux, B.BRAUN Médical / CHU de Bordeaux
Source : http://amadieu-conseil.eu/dotclear2/index.php?post/2012/07/14/L-arr%C3%AAt%C3%A9-signature-%C3%A9lectronique%2C-vers-une-simplification