Le NOUVEL ACHAT

Aller au contenu | Aller au menu | Aller à la recherche

jeudi, septembre 6 2012

PEPPOL et après ?

Par Thierry AMADIEU le jeudi, septembre 6 2012, 17:27 - EUROPE - PEPPOL - Open PEPPOL

L’ADETEF m’a confié la responsabilité de la conduite des pilotes PEPPOL pour la France. Ce fût un honneur et une joie de pouvoir collaborer avec l'équipe dynamique d'ADETEF, agence en charge de la promotion de nos savoirs-faires à l’International. Cette mission fût aussi l'occasion, d’apprécier la qualité des échanges avec la direction du projet de PEPPOL, toujours à l’écoute et de pouvoir partager une vision commune avec l’ensemble de mes collègues Européens.
Alors que le projet PEPPOL se termine, bientôt relayé par OpenPEPPOL, quel bilan tirer de l’expérimentation et quelles conséquences pour l’achat public et l’eProcurement en France et en Europe ?

A l'appui du credo de la Commission Européenne pronant les vertus du marché intérieur, PEPPOL veut faire de l'e-Procurement public un accélérateur des échanges économiques intracommunautaires.

Avec PEPPOL, nous héritons d’une infrastructure de reconnaissance des certificats électroniques, véritable clé de voûte de la confiance numérique en Europe, d’un dossier virtuel d’entreprise constitué d’un référentiel commun d’attestations pour les entreprises, d’une infrastructure distribuée et sécurisée permettant d’échanger les messages structurés de l’eProcurement et dont la syntaxe normalisée repose sur des standards ouverts, UBL , UN/CEFACT; dans un seul but, l'interopérabilité. Ces réalisations brillantes n’ont pas toujours su convaincre les opérateurs.
Faut-il en déduire un manque de maturité ou des freins au changement ? Après plusieurs mois de travail, le cloud Européen en est encore aux balbutiements mais nous laisse entrevoir déjà un futur prometteur pour les échanges dématérialisés. Open PEPPOL saura t-il poursuivre le travail accompli par PEPPOL et lever les freins encore nombreux ?

Contrairement à la grande distribution qui, parfois à marche forcée, a su faire reconnaitre l’importance des échanges EDI à l’ensemble de ses fournisseurs ; l’achat public Européen de son côté, peine encore à imposer une vision commune. Dans un contexte de crise, la préférence Nationale reste forte. Les Etats membres poursuivent des objectifs souvent divergents. La commande publique reste majoritairement fragmentée et donne souvent l’impression d’un archipel constitué d’îlots de « procurement ». Malgré ses 2000 milliard d’Euros en valeur, la commande publique Européenne pèse guère sur un marché où les initiatives comme PEPPOL sont encore trop isolées pour faire école.

Redonner le pouvoir aux utilisateurs, voilà finalement la promesse de PEPPOL.
Les choix fait par PEPPOL d’un modèle ouvert fondé sur des standards est la garantie de connecter facilement et au moindre coût tout utilisateur à ses partenaires commerciaux. La promesse de PEPPOL est donc de redonner le pouvoir aux utilisateurs. Similaire en tous points aux modèles des opérateurs de télécoms, le réseau PEPPOL permet aux utilisateurs de choisir librement leur opérateur de service sous réserve de conformité aux standards. Cette proposition de valeur se heurte logiquement aux modèles captifs de certains opérateurs, qui proposent des réseaux à valeur ajoutée (RVA) souvent propriétaires.
PEPPOL
PEPPOL distingue la partie passation (pre-award) de la partie exécution (post-ward).

En France, que retenir des pilotes PEPPOL ?
Dans le domaine de la passation, PEPPOL a su convaincre plusieurs acteurs majeurs qui rassemblent un grand nombre de communautés ou collectivités. La vérification de signature électronique équipe déjà ou est sur le point d’équiper des plateformes comme PLACE, la place des marchés de l’Etat qui rassemble les Ministères et les services déconcentrés, les Chambres de Commerce, l’UGAP et le SAE. Achatpublic.com, avec plus de 1500 collectivités clientes, le Conseil Général de l’Aube avec plus de 100 collectivités de l’Aube. D’autres projets sont à l’étude, eMegalis ou le futur portail MAXIMILIEN de la Région île de France ; en tout près de 3000 collectivités seront bientôt en capacité de vérifier la qualité de certificats électroniques étrangers. Pour le moment, le service de validation au niveau Français est opéré par LexPersona.

Pour le dossier virtuel, connectée au référentiel Européen EVS (Européen VCD Service) qui assure la correspondance entre les attestations des différents pays, la plateforme eAttestations, peut désormais assurer le contrôle de la conformité des fournisseurs étrangers. Ce contrôle déjà réalisé automatiquement au plan National avec les entreprises situées sur le territoire est maintenant étendu aux entreprises étrangères. Effective pour la lutte contre la travail illégal (NOTI 1), cette conformité sera aussi bientôt élargie aux attestations fiscales et sociales ( NOTI 2).

Dans le domaine de l’exécution des marchés où les outils de l’eProcurement sont traditionnellement mis en œuvre, l’ADETEF en permettant la connexion de la France au réseau PEPPOL par la création de deux points d’accès (AP/SMP), officialisée le 12 décembre 2011, a certainement pris une décision déterminante. En effet, les points d’accès opérés par SERES du Groupe La Poste et TRADESHIFT opérateur de dématérialisation, sont les relais indispensables pour assurer la validation, la transformation et le transport des messages, catalogue, commande, facture etc. d’un point à un autre du réseau PEPPOL.

Du côté de l’Etat, le raccordement du système comptable CHORUS au réseau PEPPOL via le concentrateur de factures opéré par EXTELIA permet désormais à l’Etat, déjà en capacité de réception de factures électroniques conformément à la Loi de modernisation de l’économie (LME) du 4 août 2008, de recevoir des flux de factures normalisées UBL 2.0 (FEN0105A) ou UN/CEFACT CII (FEN0135A) aussi bien depuis la France que de l’Etranger.

Les pilotes factures électroniques.
Plusieurs expérimentations de factures électroniques ou de catalogues utilisant le réseau PEPPOL, ont été conduites avec succès au cours du premier semestre 2012. Envoi de facture électronique UBL 2.0 de l’UGAP vers le CG10. L’UGAP trouve ainsi dans PEPPOL un moyen facile de raccorder ses clients en offrant un canal de dématérialisation des factures à moindre coût.

Envoi de factures électroniques de fournisseurs Français établis sur le territoire National vers l’Université de Lund en Suède par l’intermédiaire de l’opérateur de dématérialisation QWEEBY relié pour l’occasion au point d’accès TRADESHIFT.

Le pilote eCatalogue Healthcare, un enjeu considérable pour l’achat hospitalier.

Avec le pilote eCatalogue, nous touchons là à toute la complexité de l’achat hospitalier. Avant de constituer un levier économique, le catalogue est d’abord un outil permettant d’assurer un niveau de qualité des données. L’achat hospitalier ne peut en effet se contenter de données approximatives, là ou la responsabilité de toute la chaîne d’approvisionnement peut être engagée. L’instanciation du message électronique entre le fournisseur et l’hôpital, les liaisons avec les référentiels techniques GS1 et les systèmes de classification eCl@SS, UNSPSC ou CPV ; toutes ces problématiques ont du être résolues dépassant souvent le cadre de PEPPOL.




Nous avons du faire appel aux meilleures expertises pour résoudre les difficultés. Nous avons pu nous appuyer sur la vision métier des fournisseurs et le savoir-faire d’UniHA et du CHU de Montpellier. Le pilote eCatalogue constitue un démonstrateur unique pour l’ensemble de la communauté de la santé.




PEPPOL est une préfiguration de ce que pourrait être la commande publique en Europe demain avec des moyens déjà disponibles. Des projets de plus grande ampleur comme eSENS (Electronic Simple European Networked Services) vont immédiatement prendre le relais de PEPPOL produisant le liant indispensable au marché avec des retombées dans d’autres domaines que l’eProcurement. Même si les freins sont grands et les opérateurs toujours difficiles à convaincre, PEPPOL a su ouvrir la voie d’un eProcurement Européen. Cette initiative pourrait même susciter des intérêts autres qu'Européens dans un contexte de Mondialisation.






Je suis finalement très fier, d’avoir pu collaborer avec Alain DUCASS et son équipe, Nicolas BOTTON,  Alain ESTERLE et Michel DECLUNDER  respectivement responsables de la facture, de la signature électronique de la promotion de PEPPOL en France, Bruno BOUTTEAU, aujourd’hui à l’ARS (Agence Régionale de Santé) d’Alsace.  Malgré toutes les difficultés rencontrées, les doutes parfois, je pense avoir mener cette mission avec au final,  quelques résultats. Ces réalisations trouveront de nouveaux développements au sein d'une communauté PEPPOL bien vivante.  






Thierry AMADIEU – responsable des pilotes PEPPOL

    
    
                        

    
          


    
samedi, juillet 14 2012
    
    
L'arrêté signature électronique, mode d'emploi

    
    
Par Thierry AMADIEU    le samedi, juillet 14 2012, 10:44        - MARCHES PUBLICS
        

    
            
    
    
          
L’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics vient de paraître au J.O. du 3 juillet 2012. 




Par Thierry BEAUGE et Thierry AMADIEU




Approchés par la DAJ "direction des affaires juridiques", lors de son élaboration, nous avions insisté pour que l’utilisation de la signature électronique soit aussi aisée que la signature papier, c’est à dire qu’il y ait libre choix du certificat et du support de signature. C’est désormais chose faite avec ce nouvel arrêté, qui au demeurant, se met en conformité avec le droit européen sur la validité de certificats étrangers.
Nous avions ensuite attiré l’attention de la DAJ sur l’abrogation indispensable de l’arrêté du 28 août 2006 en contradiction avec le droit communautaire puisqu’il ne connaissait que les certificats de la PRIS.




Concernant les modalités d’application, l’arrêté  est applicable au 1er octobre 2012.  Entre cette date et  jusqu’au 18 mai 2013 date d’entrée en vigueur du RGS,  les certificats PRIS V1 pourront encore être utilisés mais ensuite ils disparaitront.






Commentaires de l’arrêté :




1. Quels certificats de signature ?

L’article 2 vient ouvrir le champ des certificats recevables.
Désormais, l’usage des certificats de signature dans les marchés publics n’est plus limité à la liste des certificats agréés  de la liste PRIS V1 . L’entrée en vigueur du RGS le 19 mai 2013 suppose la fin de cette disposition.




Tout certificat de signature conforme au RGS,  référentiel général de sécurité ou présentant  des conditions de sécurité équivalentes pour les certificats étrangers est accepté. Voir notre notre article sur la vérification de la qualité des certificats étrangers avec PEPPOL (*)





En clair, trois catégories de certificats sont acceptées :



    

  1. ceux appartenant à la liste de confiance française ;
    2. 

  2. ceux appartenant à une liste de confiance d’un autre État membre  (pour les certificats qualifiés équivalents au niveau 2 ou 3 du RGS) ;
    3. 

  3. ceux n’appartenant pas à une liste de confiance, délivrés par une autorité de certification qui répondent à des normes équivalentes à celles du référentiel général de sécurité . L’opérateur économique est libre d’utiliser le certificat de son choix, pourvu que celui-ci remplisse les obligations minimales du référentiel de sécurité (RGS).Les profils d’acheteurs (les plates-formes de dématérialisation) ont jusqu’au 19 mai 2013 pour se mettre en conformité avec les spécifications techniques qui en découlent pour utiliser les produits de signature électronique conformes au RGS.
    4. 





2. Qu’est-ce que le référentiel général de sécurité (RGS) ?

Le RGS est un ensemble de normes fixées par la DGME  que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique ; identification, signature, confidentialité et horodatage. C’est lui qui par exemple fixe le niveau 3 de sécurité exigé pour les signatures de marchés publics.




__
3. Quels formats de signature ?
__
Le format de signature doit être conforme au RGI .
L’article 3 de l’arrêté prévoit en outre, que soient acceptés les   formats de signature avancés : XAdES, CAdES et PAdES, conformément à  la décision de la Commission européenne de février 2011. Ces trois formats doivent être privilégiés mais ne sont pas exclusifs d’autres formats qui pourraient être acceptés.




4. Quel outil de signature ?

L’article 4 dispose que le signataire utilise l’outil de son choix.
Tout outil de signature proposant un certificat conforme au RGS et un format de signature de type XAdES, CAdES et PAdES est dont recevable par la plate-forme.




L’acheteur ne peut plus imposer l’emploi exclusif de l’outil de signature de la plate-forme. Cela était une source de contentieux qui donna  lieu à une jurisprudence récente (**)




En revanche, l’opérateur économique utilisant un autre outil que celui de la plate-forme doit transmettre gratuitement les éléments permettant de procéder à la vérification de la validité de la signature et de l’intégrité du document (qu’il n’a pas été modifié depuis sa signature). Ce n’est pas l’acheteur proprement dit, mais son profil d’acheteur c’est à dire sa plate-forme, qui procèdera à la vérification. Que veut dire « vérifier la validité de la signature » ? Cela veut dire pouvoir vérifier au moins :



    

  1. L’identité du signataire
    2. 

  2. L’appartenance du certificat de signature à l’une des trois catégories de certificats mentionnés ci-dessus;
    3. 

  3. Une politique de certification conforme au moins aux niveaux étoilés du RGS
    4. 

  4. Le respect du format de signature ;
    5. 

  5. Le caractère non échu ou non révoqué du certificat ;
    6. 

  6. L’intégrité du fichier signé.
    7. 




Dans le cas d’un certificat référencé sur l’une des liste mentionnées plus haut Etat ou  TSL Européenne, la sécurité est présumée et les seules vérifications à effectuer sont celles du niveau de sécurité.
Pour les certificats non  listés, c’est-à-dire pouvant émaner de pays tiers, il faudra prouver la correspondance avec le niveau RGS dans ce cas l’opérateur transmet les éléments de vérification complémentaires. Là encore PEPPOL peut aider dans cette vérification (*).




L’opérateur économique qui signe avec les outils de signature de la plate-forme est dispensé de l’envoi de la procédure de vérification de la signature.





5. Possibilité d’utiliser un parapheur électronique




L’article 6 de l’arrêté autorise la signature électronique au moyen d’un parapheur électronique.
Un parapheur électronique est un outil qui permet le regroupement de documents à valider ou à signer, la signature d’un même document par plusieurs signataires sans en altérer l’intégrité, par une utilisation aussi bien locale qu’en ligne.
Cet outil met fin à la difficulté rencontrée par le fait que le signataire du marché était rarement celui qui envoyait la candidature et l’offre par électronique.




Conclusion : cet arrêté permet une modernisation et une avancée de la dématérialisation des marchés publics. Il banalise et facilite l’utilisation de la signature électronique dans les marchés publics, en toute sécurité. Il met aussi la France en état de pouvoir faire face aux mesures de relance de la dématérialisation par la Commission européenne dans les prochaines directives marchés publics. Il entre en vigueur le 1er octobre 2012.


Thierry AMADIEU et Thierry BEAUGE, le 14 juillet 2012



    

  • (1) Les documents de référence de l'administration électronique
    • 

  • (*) voir article du blog Nouvelachat sur la vérification des certificats étrangers avec PEPPOL et la correspondance avec le RGS
    • 

  • (2) EU Trusted Lists of Certification Service Providers
    • 

  • (3)L’arrêté impose en ce cas au signataire de transmettre les éléments nécessaires à la vérification, en plus des éléments nécessaires à la vérification de la validité de la signature elle même. Par exemple l’adresse du site internet de référencement dans le pays tiers, une preuve de la qualification du prestataire ou du produit, l’adresse de l’autorité de certification qui a délivré le certificat de signature, qui mentionne la politique de certification. Voir sur ce point , note de renvoi (*).
    • 

  • (4) Direction Générale de la modernisation de l’État du MINEFI.
    • 

  • (5) RGI : référentiel général d’interopérabilité.
    • 

  • (**) Ordonnance de référé du 10 octobre 2010, Tribunal administratif de Bordeaux, B.BRAUN Médical / CHU de Bordeaux
    • 


    
    
                        

    
          


    
mercredi, juin 20 2012
    
    
Vérification systématique de la qualité d’un certificat électronique avec PEPPOL

    
    
Par Thierry AMADIEU    le mercredi, juin 20 2012, 14:28        - EUROPE - PEPPOL - Open PEPPOL
        

    
            
    
    
          
Les  certificats d’autres autorités de certification que celles listées par l’arrêté du 28 août  2006 (PRIS V1)  ou situées dans d’autres Etats membres de l’UE, soulèvent la  question de la reconnaissance de la qualité  au regard des conditions de sécurité  définies par le RGS « Référentiel Général de Sécurité ». Le système de vérification  mis en place par PEPPOL en interrogeant les différents services de validation Européens disponibles est capable d’identifier ce certificat, de tester sa validité et d’indiquer  un niveau de qualité  correspondant à une politique de certification. Comment établir la correspondance entre le niveau défini par PEPPOL et le niveau étoilé du RGS (1) de façon à permettre au destinataire de statuer sur sa qualité et le cas échéant  de rejeter cette signature si celle-ci ne présente pas le niveau requis ?

Alain ESTERLE chercheur associé à la FRS et responsable pour PEPPOL de la partie signature a travaillé sur la correspondance entre les paramètres de contrôle de PEPPOL et le référentiel RGS.






L’arrêté signature électronique en préparation vise à établir les critères de validité des certificats au regard du dispositif communautaire en faisant référence à la TSL Européenne et au RGS « Référentiel Général de Sécurité ».  Aujourd’hui, il n'existe pas de correspondance immédiate entre les certificats référencés par la TSL et la conformité au RGS. En effet, l’arrêté du 28 août 2006, précise que pour être valides, les certificats doivent être « d’une part conformes au RGS et d’autre part référencés sur la liste mise à disposition par voie électronique par le ministère chargé de la réforme de l’Etat » (PRISv1) mais rien ne stipule précisément le sort réservé aux certificats étrangers. Pourtant, rien n’interdit aujourd’hui à un opérateur économique étranger de répondre à un appel d’offres National un utilisant un certificat émis dans  son propre pays.




Fonctionnement du service de validation PEPPOL

Le dispositif de validation mis en place par PEPPOL est fondé sur un réseau collaboratif de services de validation (VS), chaque VS est capable de collecter les informations concernant les certificats et les politiques de certification des autorités de certifications locales  et de fournir ces informations à n’importe quel service de requête distant.
Le destinataire  peut ainsi  vérifier que le niveau de cette signature est conforme à la réglementation quelque soit l’usage  de cette signature, marchés publics ou autres.
Les paramètres définis par PEPPOL  se réfèrent aux normes de l’ETSI (*) , TS 101 456 et TS 102 042 alors que la réglementation Française se fonde sur le RGS « référentiel Général de Sécurité » de l’ANSSI « Agence Nationale de Sécurité des Systèmes d’Informations »  qui définit 3 niveaux  de qualité une étoile (*) deux étoiles (**) et trois étoiles (**).Comment établir cette correspondance de façon explicite à l’utilisateur final  à partir des seuls paramètres délivrés par PEPPOL ?

PEPPOL eSign
PEPPOL  détermine la qualité du certificat à partir de quatre paramètres, la politique de certification noté de 1 à 6 , l’indépendance de l’assurance de  1 à 7, l’algorithme de hachage (hash function)  et la longueur de la clé publique.
En France les autorités de certification sont  qualifiées par le LSTI (Laboratoire de Sécurité des Technologies de l’Information) et le  COFRAC sur accréditation de l’ANSSI. Depuis avril 2012, le LSTI est d’ailleurs seul habilité  à délivrer ou renouveler l’accréditation CSP. De façon pratique, cette accréditation de la politique de certification  correspond à la délivrance d’une conformité par audit externe, c’est à dire au niveau 7 de PEPPOL.




Le RGS et les niveaux de qualité définis par  PEPPOL  (2)




Bien que l’on considère que le niveau trois étoiles est équivalent à la signature qualifiée définie par le cadre Européen, il n’y a pas de concordance systématique entre le RGS et les niveaux définis par PEPPOL.
Pour la partie cryptographique, le niveau recommandé par le RGS deux étoiles (**) correspond à une fonction de hachage SHA 256 sur la base d’une longueur de clé de 2048 bits. Il est à noter qu'au plan International,  1024 bits n’est plus considéré comme présentant  un niveau de sécurité suffisant pour les échanges Internationaux depuis le 1er janvier 2011,  la signature devra donc  impérativement présenter une clé publique de  2048 bits minimum.
Le niveau RGS trois étoiles (***) est plus exigeant que les spécifications  TS 101 456  au regard de la vérification de l’identité numérique du porteur et la sécurisation du dispositif de signature par des moyens physiques. Après analyse des différents paramètres, le niveau  RGS (***) correspond donc  au niveau QCP+ « Qualified Certificate Policy » de PEPPOL.
Le niveau RGS deux étoiles (**) est lui moins exigeant que le niveau trois étoiles (***) au regard des conditions évoquées plus haut et conforme aux spécifications TS 102 042. Il s’ensuit que le  RGS (**) correspond au niveau NCP+ « Normalized Certificate Policy ». Enfin le  RGS (*) est  conforme au niveau LCP « Lightweight Certificate Policy ».





En pratique :




Les exemples de mise en œuvre de la vérification de signature sur le portail SUNNYSTAMP de LexPersona permettent de lire les paramètres décrits plus haut. L’utilisateur est donc en mesure de s’assurer de façon certaine  de l’identité  du signataire, de la validité et de la qualité du certificat émis  au regard de la politique de certification. 

En présence d'un certificat étranger :




eSign2 PEPPOL




Ou d'un certificat émis par une autorité Française :





eSign1 PEPPOL





Au-delà des vérifications habituelles portant sur la validité du certificat, le service fournit des informations précises qui vont souvent au-delà des moyens de vérifications classiquement rencontrés sur les plates-formes.Il est donc possible à partir des outils PEPPOL de s’assurer non seulement de l’origine mais de l’authenticité d’un certificat électronique auprès de n’importe quelle autorité référencée par les services de validation PEPPOL. Le  service peut-être généralisé à un ensemble  d’applications,  pour les échanges électroniques, les téléprocédures  et bien d’autres services en ligne encore. De ce point de vue, PEPPOL  sans  se substituer à la réglementation Nationale vient compléter avantageusement l’information sur la qualité du certificat. Le service est par ailleurs rendu de façon systématique pour l’ensemble des certificats du marché.
La vérification OCSP « Online Certificate Status Protocole » qui permet de délivrer un jeton de vérification par connexion directe au serveur de l’autorité de certification est toujours possible mais cette pratique est encore insuffisamment répandue.


Thierry AMADIEU 

Responsable des pilotes PEPPOL pour l'Adetef et OpenPEPPOL France






(1) ANSSI / RGS





(2) Niveau de qualité des politiques de certifications PEPPOL 




LCP: Lightweight Certificate Policy ( TS 101 456)




NCP: Normalized Certificate Policy , equivalent à QCP sans l’obligation légale de la Directive 1999/93 article 6 ( responsabilité dommage )




NCP+: Normalized Certificate Policy +, équivalent à QCP+ sans l’obligation légale de la Directive 1999/93 article 6 (responsabilité dommage)




QCP: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public (conformité avec annexes 1 & 2 de la  Directive 1999/93)




QCP+: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public et nécessitant l’utilisation de dispositifs  de sécurité  (SSCD)

    
    
                        

    
          


    
mardi, juin  5 2012
    
    
7 ème conférence PEPPOL à Rome,   présentation des pilotes VCD et signature électronique en France

    
    
Par Thierry AMADIEU    le mardi, juin  5 2012, 12:06        - EUROPE - PEPPOL - Open PEPPOL
        

    
    
    
    
          
PEPPOL conférence Roma - VCD pilots session

La conférence PEPPOL à Rome fût l’occasion de faire le point sur l’avancement des pilotes et notamment le dossier virtuel d’entreprise ( Virtual  Company Dossier)  et la signature électronique. Thierry AMADIEU, responsable de la coordination des pilotes PEPPOL pour la France est invité à parler du cas Français.

Plusieurs interventions on marqué la conférence. La France a pu exposer sa position dans le concert Européen. Christophe ALVISET du Minefe a évoqué les difficultés rencontrées par la dématérialisation en France et la nécessité de l’accompagner de mesures plus directives , Alain DUCASS de l’Adetef veut de son côté encourager l’utilisation de PEPPOL en lançant un appel d’offres à titre gratuit pour tester PEPPOL.  Personnellement,  j’ai eu l’opportunité d’exposer la situation des pilotes en France et la voie originale suivie par la plateforme e-Attestations pour la gestion de la conformité des entreprises. 




Panorama des pilotes PEPPOL VCD et eSignature en France

PEPPOL a su intéresser les principales plates-formes en France, PLACE, achatpublic.com, CG10 et d’autres  projets en gestation,  eMegalis et Maximilien etc. La fragmentation du marché en France, rend difficile l’agrégation des appels d’offres sur une plate-forme unique (peut-être celle que le BOAMPsouhaite mettre en place).
Fort de cette expérience, un premier constat s’impose, PEPPOL veut faciliter  les échanges transfrontières en dotant les opérateurs économiques de capacité de réponse en ligne des deux côtés de la frontière, cela présuppose donc que PEPPOL intéresse d’abord les plates-formes présentant une attractivité importante pour les opérateurs économiques. Cette attractivité est  liée à une masse critique d’appels d’offres en ligne comme PLACE ou la présence  de pouvoirs adjudicateurs  situés en zones frontalières comme achatpublic.com.




La notion de communauté est importante pour PEPPOL. Chaque plateforme fédère un ensemble de collectivités et mutualise  des services  communs.  La vérification de la signature et le dossier virtuel font partie de ces services. La plate-forme du CG10 sert plusieurs dizaines de collectivités de l’Aube. Le département de l’Aube souhaite faire de son portail une  véritable  plate-forme de mutualisation et d’agrégation des achats. Au-delà de la salle des marchés, la plate-forme intègre des services de facturation électronique et d’archivage,  auxquels  viendront s’ajouter les composants PEPPOL.  Le souhait du CG10 est de faire de sa plate-forme un modèle reproductible par d’autres collectivités.




L'approche originale d’e-Attestations

La plate-forme e-Attestations de CERTICORPS permet la vérification en ligne de la conformité des entreprises. Gratuite pour les fournisseurs, elle facilite la tâche fastidieuse du donneur d’ordres  dans la tenue à jour des attestations  de ses fournisseurs. L’attestation de lutte contre le travail illégal article D.8222.5 du code du travail (Décret n°2008-244 du 7 mars 2008) doit être produite tous les 6 mois. Pour répondre à cette contrainte e-Attestations offre un service en ligne qui sur simple inscription du fournisseur permet de contrôler automatiquement les informations administratives et légales à partir de la base URSSAF et INFOGREFFE.




L’intégration des critères commun de l’ontologie Européenne EVS « European VCD Service » dans le service délivré par e-Attestations permet désormais à tout donneur d’ordre public ou privé de sollicité des attestations auprès des fournisseurs Européens et pas seulement au plan National.
Cette approche est nouvelle dans PEPPOL dans la mesure où grâce à e-Attestations le chaînage s'opère entre l’acte de candidature d’une entreprise lors de la passation, au cours duquel elle devra produire ses certificats et ses attestations  et l’exécution phase où le candidat devient un fournisseur régulier de la collectivité et devra renouveler régulièrement sa conformité.
e-Attestations offre donc une solution globale qui a l’ambition de couvrir l’exécution et la passation des marchés. Fort de cette expérience, CERTICORPS  veut développer un dossier virtuel sous la forme d’un  Web service  facilement utilisable par toutes les plates-formes du marché, avec ou sans la solution e-Attestations.




Echange réussi de dossier virtuel entre la France et l’Italie

Pour concrétiser la mise en place du dossier virtuel Européen sur e-Attestations, nous avons effectué un test consistant à simuler la création d’un dossier virtuel sur la plate-forme e-Attestations par un pouvoir adjudicateur et la soumission par un opérateur économique Italien.
Le "squelette" du VCD contenant la liste des attestations demandées  par le pouvoir adjudicateur Français est généré à partir des critères communs de l’ontologie Européenne. Le fichier est ensuite téléchargé par l’opérateur économique Italien. Le fichier est ouvert  et complété des attestations sur la plateforme INFOCAMERE  des Chambres de Commerce Italiennes qui établie les correspondances avec l’ontologie Nationale Italienne. Les documents sont ajoutés et le tout est adressé sous la forme d’un container scellé et signé électroniquement au pouvoir adjudicateur Français qui en fera ensuite la lecture.




La signature électronique

Du côté de la signature électronique, LexPersona a rendu possible la vérification de signature au niveau Français,  en fournissant un service de validation opérationnel,  interrogeable manuellement à partir du portail SUNNYSTAMP ou bien automatiquement à partir d’un Web service de validation (interrogateur XKMS ) dont l’intégration semble plus   facile pour les plates-formes.
Selon les critères de PEPPOL cette vérification porte sur la qualité de la signature, la non révocation et l’authenticité du certificat. Je ne voudrais pas omettre de citer Alain ESTERLE qui a produit un travail remarquable en permettant la correspondance entre les critères de qualité de politique de certification selon les 3 niveaux définis par le RGS Français et les 7 niveaux définis par PEPPOL au niveau Européen.






En conclusion :

Si l’outil de vérification de  signature PEPPOL demeure indispensable et transverse à une multitude de services présents et à venir.  Le dossier virtuel n’occupe pas encore une position acquise  dans l’univers  des  services rendus à la collectivité.  Je temporise immédiatement ce propos en indiquant que plusieurs voies se profilent déjà pour le VCD. E-Attestations en est la meilleure illustration,  sans compter la base e-CERTIS qui n’est pas opérée techniquement aujourd’hui mais qui pourrait l’être demain. Le dossier virtuel est aussi un pendant idéal du coffre-fort d’entreprise tellement souhaité par les opérateurs économiques. A ce propos, dans sa dernière version,  le dossier virtuel est en mesure d’établir des liens avec des documents que l’on ne déplace plus et qui deviennent aussi virtuels.  Cela nous laisse entrevoir un progrès considérable des candidatures mais  qui devra d’abord s’affranchir d’une légère entorse à notre réglementation.

    
    
                        

    
                  
 -         page 17 de 24         -