| Entreprises - PME : Répondre aux marchés publics (DC1, DC2, ATTRI1, DC4, mémoire technique, ...) | Acheteurs publics | |||||
| DATES | J01 Fondamentaux | J02 Répondre aux AO | J03 Réponse électronique | J04 Mémoire technique | Formations | Assistance |
Dématérialisation Conseil et formation
Réponse dématérialisée aux marchés publics réponse électronique par Internet)
| Répondre | Formations "Répondre aux AO pour les entreprises" - INTER, INTRA, sur site ou FOAD (Fondamentaux, réponse, formulaires, dématérialisation, mémoire technique) |
Certificat électronique
Définition
Le certificat électronique est un terme générique désignant une attestation électronique qui établit un lien entre des données de vérification (clé publique) et l'identité d'une entité (personne physique, personne morale ou système informatique). Il constitue l'équivalent numérique d'une pièce d'identité et permet de garantir l'authenticité et l'intégrité des échanges électroniques.
Cette notion s'inscrit dans le cadre du Règlement (UE) n° 910/2014 du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit « Règlement eIDAS », tel que modifié par le Règlement (UE) n° 2024/1183 du 11 avril 2024 (« eIDAS 2.0 »), entré en vigueur le 20 mai 2024.
Le certificat de signature électronique n'est pas à confondre avec le certificat électronique.
Cadre juridique applicable
Le cadre juridique relatif aux certificats électroniques est aujourd'hui exclusivement fondé sur le droit européen. L'ancienne réglementation française, notamment le Décret n° 2001-272 du 30 mars 2001 relatif à la signature électronique, a été abrogée par le décret n° 2017-1416 du 28 septembre 2017. De même, l'ancienne classification par « classes » (1, 2, 3, 3+) n'a plus de fondement juridique et a été remplacée par les niveaux définis par le règlement eIDAS.
Les différents types de certificats électroniques
Le règlement eIDAS distingue plusieurs types de certificats électroniques, chacun répondant à un usage spécifique. Ces certificats sont délivrés par des Prestataires de Services de Confiance (PSC), dont certains bénéficient du statut « qualifié » après audit et inscription sur la liste de confiance nationale.
Certificat de signature électronique
Définition (Art. 3, point 14 eIDAS) : Le certificat de signature électronique est « Une attestation électronique qui associe les données de validation d'une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne. »
Il permet à une personne physique de signer électroniquement des documents avec une valeur juridique. C'est le certificat utilisé par les entreprises pour répondre aux marchés publics.
Les niveaux se déclinent en simple, avancé, avancé reposant sur un certificat qualifié, qualifié.
Certificat de cachet électronique
Définition (Art. 3, point 29 eIDAS) : Il s'agit d'« Une attestation électronique qui associe les données de validation d'un cachet électronique à une personne morale et confirme le nom de cette personne. »
Il permet à une organisation (entreprise, administration, association) d'apposer un cachet garantissant l'origine et l'intégrité d'un document. Équivalent numérique du tampon d'entreprise. Utilisé notamment pour les factures électroniques, les attestations automatisées, les documents officiels émis en masse.
Les niveaux se déclinent en simple, avancé, qualifié.
Certificat d'authentification de site internet
Définition (Art. 3, point 38 eIDAS) : C'est « Une attestation qui permet d'authentifier un site internet et associe celui-ci à la personne physique ou morale à laquelle le certificat est délivré. »
Il permet aux visiteurs d'un site web de vérifier l'identité de l'exploitant du site et d'établir une connexion sécurisée (HTTPS). Garantit que le site est bien géré par l'entité annoncée.
Les exigences sont que le certificat qualifié doit satisfaire aux conditions de l'Annexe IV du règlement eIDAS.
Tableau comparatif des certificats électroniques
| Type de certificat | Titulaire | Usage principal | Référence eIDAS |
|---|---|---|---|
| Certificat de signature électronique | Personne physique | Signature de documents, réponse aux marchés publics | Art. 3 §14, Annexe I |
| Certificat de cachet électronique | Personne morale | Facturation électronique, documents automatisés | Art. 3 §29, Annexe III |
| Certificat d'authentification de site internet | Personne physique ou morale | Sécurisation des sites web (HTTPS) | Art. 3 §38, Annexe IV |
La notion de certificat « qualifié »
Quel que soit le type de certificat, celui-ci peut être « qualifié » s'il est délivré par un Prestataire de Services de Confiance Qualifié (PSCQ) et s'il satisfait aux exigences spécifiques définies dans les annexes du règlement eIDAS. La qualification confère au certificat une présomption de fiabilité et des effets juridiques renforcés reconnus dans l'ensemble de l'Union européenne.
Pour obtenir un certificat qualifié, le demandeur doit se soumettre à une procédure de vérification d'identité rigoureuse qui peut s'effectuer :
- En face-à-face physique devant un agent habilité
- À distance via un service de vérification d'identité certifié (PVID)
Les supports du certificat électronique
Un certificat électronique peut être stocké sur différents supports, chacun offrant un niveau de sécurité distinct.
Support matériel
Le certificat est conservé sur un dispositif physique sécurisé (carte à puce, clé USB cryptographique, token). Lorsque ce dispositif satisfait aux exigences de l'Annexe II du règlement eIDAS, il est qualifié de « Dispositif de Création de Signature/Cachet Électronique Qualifié » (QSCD). Ce support offre le niveau de sécurité maximal car la clé privée ne peut être extraite du dispositif.
Support logiciel
Le certificat est stocké dans un fichier sur l'ordinateur ou dans le cloud. Ce mode offre plus de souplesse mais un niveau de sécurité moindre. Il ne permet pas, seul, d'atteindre le niveau de signature qualifiée.
Signature/cachet qualifié à distance (nouveauté eIDAS 2.0)
Le règlement eIDAS 2.0 reconnaît désormais les signatures et cachets qualifiés à distance comme services de confiance qualifiés. Le dispositif QSCD est alors géré par le prestataire de services de confiance pour le compte du signataire, permettant d'atteindre le niveau qualifié sans support matériel personnel.
Prestataires de services de confiance et listes de confiance
Les certificats électroniques sont délivrés par des Prestataires de Services de Confiance (PSC). Ceux qui satisfont aux exigences renforcées du règlement eIDAS et sont supervisés par les autorités nationales obtiennent le statut de « Prestataire de Services de Confiance Qualifié » (PSCQ).
En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) est l'organe de contrôle chargé de qualifier les prestataires et de maintenir la liste nationale de confiance.
Ressources
Site ANSSI - Services de confiance
Textes de référence
Réglementation européenne
Règlement (UE) n° 910/2014 du 23 juillet 2014 (eIDAS)
Règlement (UE) n° 2024/1183 du 11 avril 2024 (eIDAS 2.0)
Décision d'exécution (UE) 2015/1505 (format des listes de confiance)
Textes abrogés (références historiques)
Décret n° 2001-272 du 30 mars 2001 (abrogé par décret n° 2017-1416)
Classification par « classes » (1, 2, 3, 3+) - obsolète
Voir également
signature électronique, horodatage électronique, prestataire de services de confiance, dispositif de création de signature électronique qualifié (QSCD), dématérialisation des marchés publics, dispositif de création de signature électronique.
Actualités
(c) F. Makowski 2001/2024