Les nouvelles règles relatives à la signature électronique dans les marchés publics
Cet article complète le guide de la dématérialisation des marchés publics publié par l'ATD en mars 2012 dans le cadre du projet DéSIDé31, sur le point particulier de la signature électronique.
En effet, l'arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics modifie les modalités de dématérialisation des procédures de passation des marchés publics.
Ce texte étend les types de certificats électroniques recevables, facilite les opérations de vérification de la signature électronique et précise les formats de signature à utiliser.
Même si une période de transition est prévue jusqu'en mai 2013, la mise en conformité des plateformes de dématérialisation et l'adaptation par les acheteurs publics de leurs règlements de consultation doivent intervenir au 1er octobre 2012.
Rappel sur les notions de signature et de certificat électroniques
La signature électronique d'une personne, comme sa signature manuscrite, est un signe distinctif qui lui est propre. Elle identifie celui qui l'appose et manifeste son consentement.
Concrètement cette signature est apposée sur un document électronique, par exemple l'acte d'engagement, par le biais d'une clé USB ou d'une carte à puces.
Cette procédure permet à la fois:
- de positionner précisément la signature dans le document à valider,
- d'identifier la date de son insertion,
- de reconnaître exactement la qualité du signataire.
Le certificat électronique est un logiciel permettant de crypter les données de cette signature électronique pour que seuls l'émetteur et le destinataire puissent la déchiffrer, par le biais d'un code d'identification.
L'extension des types de certificats électroniques recevables et la précision des formats de signature acceptables
Actuellement et jusqu'au 1er octobre 2012, l'usage des certificats de signature dans les marchés publics est limitée à ceux qui sont conformes à la norme PRIS V1.
C'est ainsi qu'en France, une quinzaine d'autorités de certification peuvent émettre des certificats. Cette liste, qui est régulièrement actualisée par l'Agence Nationale de la Sécurité des Systèmes d'Informations (ANSSI), est annexée au Guide de la dématérialisation des marchés publics, publié par l'ATD en mars 2012 dans le cadre de son projet DéSIDé.
Or, la reconnaissance de ces autorités de certification n'est pas réciproque entre les divers Etats de l'Union Européenne (UE).
Ainsi, une entreprise d'un pays A ayant acquis un certificat reconnu par ce pays peut voir sa validité contestée par un acheteur d'un pays B lors de la remise de son offre électronique lors d'une consultation européenne.
Pour résoudre ce problème, l'arrêté précité du 15 juin 2012 prévoit qu'à compter du 1er octobre prochain, seront acceptés tous les certificats reconnus par un autre membre de l'UE, et plus largement tous les certificats émanant d'une autorité de certification répondant à « des normes équivalentes à celles du référentiel général de sécurité (RGS), défini par le décret du 2 février 2010 ».
L'article 3 de l'arrêté précise par ailleurs les formats de signature acceptables. Il s'agit des trois formats les plus modernes et couramment utilisés: PAdES, CAdES, XAdES.
Le règlement de la consultation, ou la lettre de consultation, peut prévoir un ou plusieurs formats supplémentaires.
Enfin, l'article 4 réaffirme la possibilité pour le signataire d'utiliser l'outil de son choix pour réaliser sa signature. Cela signifie que l'acheteur ne peut pas imposer l'emploi de l'outil de signature de la plateforme de dématérialisation à laquelle il recourt pour ses marchés.
Néanmoins, lorsque l'opérateur économique utilise un autre outil de signature, par exemple un parapheur électronique (outil permettant d'apposer une « signature électronique » sur « un document » à savoir un fichier de données), il en permet la vérification en transmettant en parallèle les éléments nécessaires pour procéder à la vérification de la validité de la signature et de l'intégrité du document, et ce, gratuitement.
Les démarches que doivent entreprendre les personnes publiques durant la période de transition
Au 1er octobre 2012, tous les certificats de signature doivent pouvoir être traités par les plateformes de dématérialisation pour examiner leur conformité avec le RGS, et vérifier la validité de la signature. Pour autant, les certificats dits « PRIS V1 » peuvent encore être utilisés jusqu'au 18 mai 2013, date à laquelle ils disparaîtront.
Les profils d'acheteur doivent donc être en mesure de traiter automatiquement les deux types de certificats, et de lire et contrôler les formats de signature les plus courants.
Les collectivités devront par conséquent s'assurer auprès de leur plateforme de dématérialisation que les certificats conformes au RGS pourront bien être acceptés par le profil d'acheteur à compter du 1er octobre prochain.
Pour les marchés dont la consultation est lancée après le 1er octobre, ainsi que pour les marchés dont la consultation est lancée avant cette date mais se termine après, il est donc recommandé de préciser dans les documents de la consultation:
le rappel du niveau de sécurité requis sur le profil d'acheteur ;
la liste des documents à remettre par les candidats pour lesquels une signature électronique est requise ;
les formats de signature autorisés (dont toujours au moins, les trois formats précités: PAdES, CAdES, XAdES) ;
le rappel de la possibilité d'utiliser l'outil de son choix pour signer de façon électronique, sous réserve de la vérification par le pouvoir adjudicateur de la validité de la signature et de l'intégrité du document.
Pour aller plus loin:
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.
