
Certificat de signature électronique eIDAS, RGS
Un certificat de signature électronique est un document sous forme électronique qui a pour but d’authentifier l’identité de la personne signataire (carte d’identité), l’intégrité des documents échangés (protection contre toute altération) et l’assurance de non-répudiation (impossibilité de renier sa signature).
Un certificat de signature électronique associe les données d’une signature électronique à une personne physique.
Parmi l’ensemble des catégories de certificats de signature électronique commercialisées par des sociétés spécialisées appelées « prestataire de services de certification électronique », le ministre chargé de la réforme de l’Etat référence celles qui respectent un référentiel intersectoriel de sécurité en répondant à des exigences techniques minimales.
Formation DEMATERIALISATION (J03)
Les certificats eIDAS à compter du 1er octobre 2018
Pour répondre aux marchés publics, à compter du 1er octobre 2018 il faut disposer d'une signature électronique au minimum avancée reposant sur un certificat qualifié, conforme au règlement eIDAS.
Les niveaux de signature électronique
Le règlement eIDAS liste quatre types de signature électronique correspondant à des niveaux de sécurité différents :
- la signature électronique simple,
- la signature électronique avancée (niveau 2)
- la signature électronique avec certificat qualifié (niveau 3)
- la signature électronique qualifiée (niveau 4).
Pour répondre aux marchés publics il faut une signature électronique au minimum avancée reposant sur un certificat qualifié, conforme au règlement eIDAS. Dans la commande publique, en France, sont autorisées :
- soit la signature électronique avancée avec certificat qualifié (niveau 3) ;
- soit la signature électronique qualifiée (niveau 4).
Les certificats RGS peuvent être utilisés au-delà du 1er octobre 2018
Il est à noter que les certificats RGS peuvent être utilisés au-delà de cette date, le temps de leur validité.
L'arrêté du 12 avril 2018 relatif à la signature électronique laisse expressément la possibilité d’utiliser un certificat de signature électronique de type RGS. En effet ce texte dispose que les certificats qualifiés de signature électronique délivrés en application du texte précédent à savoir l'arrêté du 15 juin 2012 relatif à la signature électronique demeurent régis par ses dispositions jusqu’à leur expiration.
Certificat de signature électronique au sens du règlement (UE) n° 910/2014
Un certificat de signature électronique est une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne.
Source : Règlement (UE) n° 910/2014 du parlement européen et du conseil du 23 juillet 2014
Liste des catégories de certificats de signature électronique référencées
La liste des catégories de certificats de signature électronique était publiée sur le site internet du ministre chargé de la réforme de l’Etat à l’adresse suivante : « http://www.entreprises.minefi.gouv.fr/certificats/ ». Cette liste est évolutive, elle est en effet actualisée au fur et à mesure des référencements.
- Attention cette liste n'est plus la seule utilisable suite à la publication de l'arrêté du 15 juin 2012 relatif à la signature électronique. Cet arrêté est applicable jusqu'au 30 septembre 2018 puis remplacé par l'arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique applicable à compter du 1er octobre 2018.
Les certificats utilisables en 2012 et 2013 et plus
- Certificats PRIS V1 avant le 1er octobre 2012 ;
- Certificats PRIS V1 ou RGS entre le 1er octobre 2012 et le 18 mai 2013 ;
- Certificats RGS seuls après le 18 mai 2013.
Tout prestataire de services de certification électronique peut faire reconnaître, par le ministre chargé de la réforme de l’Etat, la conformité de sa catégorie de certificats de signature électronique au référentiel intersectoriel de sécurité. A cette fin, il lui en demande l’inscription sur la liste des catégories de certificats précitée.
Conformément aux dispositions de l’arrêté d’application de l’article 48 du code des marchés publics (Arrêté du 28 août 2006 pris en application du I de l’article 48 et de l’article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics formalisés), pour signer électroniquement sa candidature et son acte d’engagement, l’entreprise choisit librement une catégorie de certificats de signature électronique ainsi référencée. Le certificat est nominatif, il est délivré aux personnes habilitées pour engager la personne morale.
Cet arrêté simplifie le dispositif de signature dans la mesure où il garantit aux entreprises que toutes les catégories de certificats de signature électronique référencées sont acceptées par tous les pouvoirs adjudicateurs (Etat, collectivités territoriales, établissements publics). Par ailleurs, de tels certificats peuvent également être utilisés pour d’autres téléservices (TéléTV @, téléc@rte grise, déclarations sociales...).
Certificat électronique ou certificat de signature au sens du guide pratique de la dématérialisation des marchés publics
Certificat électronique ou certificat de signature : Document électronique qui a pour but d’authentifier l’identité de la personne signataire (carte d’identité), l’intégrité des documents échangés (protection contre toute altération) et l’assurance de non-répudiation (impossibilité de renier sa signature).
Guide pratique de la dématérialisation des marchés publics - Version 1.0 (extrait)
Le certificat électronique
Un certificat électronique est une identité numérique. Il est nominatif, donc appartient personnellement à un membre d’une société ou agent d’une administration. Le certificat électronique est constitué de trois éléments indissociables suivants :
1. les informations concernant l’identité du titulaire (nom, prénom, fonction, service, email…), son organisation (société, association ou administration…), la période de début et de fin de validité du certificat, l’identité de l’autorité de certification qui l’a généré, les fonctionnalités autorisées du certificat, l’adresse concernant l’accès à la politique de certification de l’autorité ainsi que l’adresse de la liste des certificats révoqués ;
2. la clé privée ;
3. la clé publique.
Le certificat, nécessaire pour la réponse électronique, est constitué d’une clé publique et d’une clé privée associée qui doit rester secrète (on parle de certificat à clé asymétrique) qui est confinée dans un support matériel cryptographique : une clé USB cryptographique ou une carte à puce, par exemple.
L’autorité de certification est un prestataire qui produit des certificats, pour le compte d'utilisateurs. Lorsque ce prestataire est une entreprise privée, il commercialise les certificats produits. Lorsque le prestataire est une autorité administrative, il les délivre à ses agents.
L’autorité de certification signe le certificat (avec sa propre clé privée), garantissant ainsi l'intégrité du certificat et la véracité des informations contenues dans les certificats qu’elle émet.
L’autorité de certification assure le lien entre l’utilisateur (le futur signataire) et le certificat qu’elle va émettre pour lui, en s’assurant préalablement, par l’examen de pièces d’identité et par une rencontre en face-à-face, de la véracité des informations fournies par le demandeur du certificat.
La durée de validité du certificat est de deux à trois ans (le RGS prévoit trois ans). Son coût annuel dépend des services associés. En moyenne, il varie entre 70 et 130 €.
Toutes les informations nécessaires à l’acquisition d’un certificat sont en ligne sur les sites des autorités de certification qui en commercialisent. La liste d’autorités de certification utilisable pour signer les offres est en ligne ici : http://www.entreprises.minefi.gouv.fr/certificats/
Il faut compter en pratique15 jours à un mois pour obtenir un certificat de signature, quelquefois plus. L’entreprise est donc invitée à anticiper cette acquisition.
Certificat ou certificat électronique au sens du guide pratique de la dématérialisation des marchés publics et du RGS
Un certificat ou certificat électronique est, selon les dispositions du RGS : « Un fichier électronique attestant qu’une bi-clé appartient à une personne physique, une personne morale, un élément matériel ou un logiciel identifié, directement ou indirectement (pseudonyme). Il est délivré par un PSCE. En signant le certificat, l’AC valide le lien entre l'identité et la clé publique. Le certificat est valide pendant une durée limitée précisée dans celui-ci ».
Les supports utilisables : matériel ou logiciel ?
Un certificat électronique se présente soit sous forme matérielle soit sous la forme d'un logiciel.
Dans le cas d'un certificat électronique sous forme matérielle il prend la forme d'un composant électronique tels qu'une carte à puce ou une clé USB, .
Un certificat proposé sur un support matériel est généralement préférable car il est :
- plus sûr car on ne peut pas le copier,
- généralement plus pratique, en effet, il est utilisable sur des sites différents et, de plus, il est toujours exploitable suite à des soucis avec l’ordinateur,
- souvent plus économique car il est accepté par toutes les téléprocédures des autorités administratives.
Ces raisons font que l'on s'oriente de plus en plus vers des certificats stockés sur support matériel.
Entreprises
Appels d’offres publics : Comment y répondre ? - Conseils aux TPE, PME, entreprises et artisans - 12 mai 2009 - 16 h 00
Entreprise - TPE - PME - Répondre à un appel d'offres public,
Entreprise - TPE - PME - Répondre à un appel d'offres ouvert,
Entreprise - TPE - PME - Répondre à un appel d'offres restreint,
Entreprises - Comment compléter un document PDF dans le cadre d'un appel d'offres public ?
Comment trouver des appels d'offres et comment connaître les consultations en cours ?
Formations
Voir les formations à la réponse électronique aux marchés publics effectués par l'auteur du présent site Internet à destination des entreprises.
Jurisprudence
Réponse électronique dans les marchés publics – La signature électronique d’un fichier zip ne suffit pas ( Une ordonnance du TA Toulouse, 9 mars 2011, n° 1100792, Société MC2I / CNRS confirme la position de la DAJ dans la réponse électronique aux marchés publics : la signature du fichier zip ne suffit pas, il faut signer les pièces individuellement) - 5 avril 2011.
TA Limoges, 15 novembre 2010, n° 1001569, SNC INFOSTANCE c/ Région Limousin et autre - Défaillances d’une plate-forme de dématérialisation et régularité de la procédure. Existence d'un certificat de signature électronique adéquat et validité de la signature électronique.
Textes
Arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics - NOR: EFIM1222915A
Arrêté du 28 août 2006 pris en application du I de l’article 48 et de l’article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics formalisés [abrogé par l'arrêté du 14 décembre 2009 relatif à la dématérialisation des procédures de passation des marchés publics à l’exception des articles 5 à 7]
Art. 40 du Code des Marchés Publics 2004 [abrogé], Art. 56 du Code des Marchés Publics 2004 [abrogé]
Décret 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information
Décret n° 2001-272 du 30 mars 2001 (Journal Officiel du 31 mars 2001) pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique [Abrogé par décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique - NOR: JUSC1716705D]
Loi
2000-230 du 13 mars 2000 portant adaptation du droit de
la preuve aux technologies de l’information et relative à la signature
électronique
Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques
Voir également
autorités administratives, système d'information, prestataire de services de confiance, produit de sécurité, téléservice, RGS (Référentiel général de sécurité), PRIS (politique de référencement intersectoriel de sécurité), RGI (Référentiel général d'interopérabilité), profil d’acheteur,
Certificats :
Actualités
Mise à jour version 3 du guide « très pratique » de la dématérialisation des marchés publics pour les entreprises et acheteurs (MAJ en janvier 2019) - 17 janvier 2019.
Espace Internet dédié à la commande publique numérique mis en ligne par la DAJ de Bercy : https://marchespublicsnumeriques.fr - 27 juillet 2018.
Dématérialisation des marchés publics : Au 1er octobre 2018 les offres papier seront irrégulières - 15 juillet 2018.
Publication du guide « très pratique » de la dématérialisation des marchés publics pour les entreprises et acheteurs 2018 - 5 juin 2018.
CNOA : Dématérialisation de la commande publique pour les architectes et ses échéances. Passation et exécution des marchés par voie électronique, facturation électronique, réponse dématérialisée obligatoire et accélération de l’open data figurent au menu. Ces conseils de la CNOA et les recommandations de la FNTP succèdent à la publication récente du plan de transformation numérique de la commande publique (PTNCP) 2017-2022. - 31 janvier 2018.
Dématérialisation des marchés publics : Les conseils de la FNTP - 30 janvier 2018.
Plan de transformation numérique de la commande publique (PTNCP) : Une feuille de route pour 5 ans. Le plan de transformation numérique de la commande publique 2017-2022 est une feuille de route de la dématérialisation des marchés publics pour les cinq prochaines années. Il s’agit d’un plan d’action publié par la DAJ de Bercy décliné en 19 actions intégrées dans 5 axes. - 18 janvier 2018.
Le guide pratique du MEDEF de 2017 : Dématérialisation et numérique dans les marchés publics : . Le MEDEF a publié sur son site Internet une version 2017 de son guide pratique sur la dématérialisation des marchés publics auquel a participé la FNTP. - 20 novembre 2017.
L’application Télérecours devient obligatoire pour les administrations et les avocats à compter du 1er janvier 2017. - 4 novembre 2016.
Guide pratique sur la dématérialisation des marchés publics 2012 - Version 2.0 de décembre 2012
Projet d'arrêté relatif à la signature électronique dans les marchés publics : la concertation est ouverte - 11 janvier 2012
Avis de la DAJ sur la réponse dématérialisée des candidats étrangers suite aux difficultés d'obtention d'un certificat de signature valide - 29 juillet 2010
Réponse aux marchés publics par voie électronique, candidatures étrangères et pré-requis techniques. Les candidats étrangers qui n’arrivent pas à obtenir le certificat de signature électronique mais également certaines difficultés techniques constituent un frein à la réponse à la réponse dématérialisée aux marchés public. - 17 juillet 2010
Guide de la dématérialisation des marchés publics - Version 1.0 du 31 mai 2010 (avec actualisation en octobre 2010)
Dématérialisation des procédures : La nouvelle place de marché interministérielle (PMI) est opérationnelle depuis le le 4 novembre 2008
Dématérialisation des procédures : L’enquête DJO/BOAMP menée par l’IFOP - Mai 2008
QE AN n°16569 du 5 août 2008 sur l'expérimentation de dématérialisation des procédures de passation des marchés publics – 8 aout 2008
Questions écrites au sénat ou à l'assemblée nationale - Réponses ministérielles
QE Sénat n° 18300 de M. Gérard Collomb - Réponse électronique des entreprises étrangères et certificats électroniques produits par les entreprises des autres pays membres de l'Union européenne : "En l'état actuel du droit, la solution reste imparfaite" selon le MINEFE
Prestataires