La mise en œuvre de la signature électronique dans les marchés publics
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Mathieu Prats-Denoix et Leïli Chahid-Nouraï, 12/07/2012
L’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics, confère aux opérateurs économiques une plus grande liberté de choix du certificat de signature. Il permet le développement d’un outil indispensable à la dématérialisation des procédures par l’automatisation la plus intégrée possible de l’usage de la signature électronique et de ses contrôles. Ce texte abroge, au 1er octobre 2012, l’arrêté du 28 août 2006, actuellement en vigueur.
La dématérialisation consiste en la transformation d’un document ou d’un flux de documents établis sur un support « papier » ou des traitements qui leur sont appliqués, en documents, flux et traitements numériques. Le processus doit apporter une sécurité juridique équivalente à celle offerte par les documents sur support « papier », quels que soient les supports, les moyens de transmission ou les modalités d’archivage.
La transmission électronique peut être imposée par le pouvoir adjudicateur. Elle est toujours obligatoire pour les marchés informatiques de plus de 90.000 euros. Dans tous les cas, pour tous les marchés d’un montant supérieur à 90.000 euros HT, le pouvoir adjudicateur ne peut refuser de recevoir les documents par voie électronique.
L’article 56 - IV du code des marchés publics précise que dans tous ces cas de transmission, le pouvoir adjudicateur assure la confidentialité et la sécurité des transactions sur un réseau informatique accessible de façon non discriminatoire, selon des modalités actuellement fixées par l’arrêté du 28 août 2006 du ministre chargé de l’économie.
Cet arrêté de 2006 précise que les candidatures et les actes d’engagement transmis par voie électronique sont signés par l’opérateur économique au moyen d’un certificat de signature électronique qui garantit l’identification du candidat. L’article 6 de l’arrêté dispose que les différentes catégories de certificats de signatures utilisées pour signer électroniquement doivent être, d’une part, conformes au référentiel intersectoriel de sécurité et, d’autre part, référencées sur une liste établie par le ministère chargé de la réforme de l’Etat.
L’arrêté du 15 juin 2012 abroge cet arrêté de 2006 à compter du 1er octobre 2012, marquant une nouvelle étape de la dématérialisation des procédures.
Désormais, l’usage des certificats de signature dans les marchés publics n’est plus limité à ceux figurant dans une liste. Il est autorisé au regard du référentiel général de sécurité (RGS), mentionné dans l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre autorités administratives.
Le RGS rassemble les règles de sécurité qui s’imposent aux autorités administratives et à leurs prestataires dans leurs démarches de sécurisation de leurs systèmes d’informations. L’objectif du RGS n’est pas d’imposer une technologie, une architecture ou une solution technique, ni même les fonctions de sécurité qu’il décrit. En revanche, lorsqu’une autorité administrative juge nécessaire, à l’issue d’une analyse de risque, de mettre en œuvre des fonctions de sécurité qui sont prévues dans le RGS, elle doit alors respecter les règles correspondantes.
L’arrêté du 15 juin 2012 donne la liberté aux opérateurs économiques, candidats à une procédure de passation dématérialisée, de choisir un certificat de signature, selon trois options.
- Le certificat est « constitutif d’un produit de sécurité mentionné à l’article 12 de l’ordonnance du 8 décembre 2005 » : dans cette hypothèse, le certificat doit être conforme au RGS. Le cas échéant, les prestataires de services offrant une sécurité garante de la confiance qui leur est accordée peuvent faire l’objet d’un référencement pas l’Etat sur une liste dite « de confiance ».
- Le certificat est délivré par une autorité de certification figurant sur la liste de confiance d’un Etat membre, mise à la disposition du public par la Commission européenne : dans ce cas, la conformité du produit au RGS est présumée.
- Le certificat est délivré par une autorité de certification française ou étrangère : sans être attesté conforme au RGS, il répond à des normes équivalentes. Le signataire transmet, gratuitement, avec le document signé, le mode d’emploi permettant à l’acheteur public de contrôler la conformité du certificat utilisé au RGS. Il transmet l’adresse du site internet de l’autorité de certification qui a délivré le certificat de signature et qui mentionne sa politique de certification.
Dans tous les cas, l’acheteur public est tenu de vérifier la validité de la signature et, comme pour les procédures non dématérialisées, l’identité du signataire et sa capacité à engager l’entreprise.
Les acheteurs publics sont tenus de configurer leurs profils d’acheteurs afin de permettre l’utilisation des produits de signature électronique conforme au RGS, au plus tard le 19 mai 2013.
La signature doit, en outre, respecter certaines normes et standards. L’arrêté prévoit l’utilisation des formats XAdES, CAdES, CAdES ou PAdES. Le règlement de la consultation peut, toutefois, prévoir des formats supplémentaires, sous réserve de conformité au référentiel général d’interopérabilité, défini par décret n° 2007-284 du 2 mars 2007 fixant les modalités d’élaboration, d’approbation, de modification et de publication du référentiel général d’interopérabilité.
La transmission électronique peut être imposée par le pouvoir adjudicateur. Elle est toujours obligatoire pour les marchés informatiques de plus de 90.000 euros. Dans tous les cas, pour tous les marchés d’un montant supérieur à 90.000 euros HT, le pouvoir adjudicateur ne peut refuser de recevoir les documents par voie électronique.
L’article 56 - IV du code des marchés publics précise que dans tous ces cas de transmission, le pouvoir adjudicateur assure la confidentialité et la sécurité des transactions sur un réseau informatique accessible de façon non discriminatoire, selon des modalités actuellement fixées par l’arrêté du 28 août 2006 du ministre chargé de l’économie.
Cet arrêté de 2006 précise que les candidatures et les actes d’engagement transmis par voie électronique sont signés par l’opérateur économique au moyen d’un certificat de signature électronique qui garantit l’identification du candidat. L’article 6 de l’arrêté dispose que les différentes catégories de certificats de signatures utilisées pour signer électroniquement doivent être, d’une part, conformes au référentiel intersectoriel de sécurité et, d’autre part, référencées sur une liste établie par le ministère chargé de la réforme de l’Etat.
L’arrêté du 15 juin 2012 abroge cet arrêté de 2006 à compter du 1er octobre 2012, marquant une nouvelle étape de la dématérialisation des procédures.
Désormais, l’usage des certificats de signature dans les marchés publics n’est plus limité à ceux figurant dans une liste. Il est autorisé au regard du référentiel général de sécurité (RGS), mentionné dans l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre autorités administratives.
Le RGS rassemble les règles de sécurité qui s’imposent aux autorités administratives et à leurs prestataires dans leurs démarches de sécurisation de leurs systèmes d’informations. L’objectif du RGS n’est pas d’imposer une technologie, une architecture ou une solution technique, ni même les fonctions de sécurité qu’il décrit. En revanche, lorsqu’une autorité administrative juge nécessaire, à l’issue d’une analyse de risque, de mettre en œuvre des fonctions de sécurité qui sont prévues dans le RGS, elle doit alors respecter les règles correspondantes.
L’arrêté du 15 juin 2012 donne la liberté aux opérateurs économiques, candidats à une procédure de passation dématérialisée, de choisir un certificat de signature, selon trois options.
- Le certificat est « constitutif d’un produit de sécurité mentionné à l’article 12 de l’ordonnance du 8 décembre 2005 » : dans cette hypothèse, le certificat doit être conforme au RGS. Le cas échéant, les prestataires de services offrant une sécurité garante de la confiance qui leur est accordée peuvent faire l’objet d’un référencement pas l’Etat sur une liste dite « de confiance ».
- Le certificat est délivré par une autorité de certification figurant sur la liste de confiance d’un Etat membre, mise à la disposition du public par la Commission européenne : dans ce cas, la conformité du produit au RGS est présumée.
- Le certificat est délivré par une autorité de certification française ou étrangère : sans être attesté conforme au RGS, il répond à des normes équivalentes. Le signataire transmet, gratuitement, avec le document signé, le mode d’emploi permettant à l’acheteur public de contrôler la conformité du certificat utilisé au RGS. Il transmet l’adresse du site internet de l’autorité de certification qui a délivré le certificat de signature et qui mentionne sa politique de certification.
Dans tous les cas, l’acheteur public est tenu de vérifier la validité de la signature et, comme pour les procédures non dématérialisées, l’identité du signataire et sa capacité à engager l’entreprise.
Les acheteurs publics sont tenus de configurer leurs profils d’acheteurs afin de permettre l’utilisation des produits de signature électronique conforme au RGS, au plus tard le 19 mai 2013.
La signature doit, en outre, respecter certaines normes et standards. L’arrêté prévoit l’utilisation des formats XAdES, CAdES, CAdES ou PAdES. Le règlement de la consultation peut, toutefois, prévoir des formats supplémentaires, sous réserve de conformité au référentiel général d’interopérabilité, défini par décret n° 2007-284 du 2 mars 2007 fixant les modalités d’élaboration, d’approbation, de modification et de publication du référentiel général d’interopérabilité.