Contributeurs : Alain Esterle, Thierry BEAUGE ,Thierry AMADIEU , Alain DUCASS et François DEVORET
La présentation faite par Monsieur DOUMAIN de la DAJ dans le cadre de la réunion de l'OEAP du 26 janvier, a permis de préciser un certain nombre de points concernant le projet d'arrêté sur la signature électronique (*).
Nous avions indiqué dans notre précédent article du 25 janvier, que l'arrêté prépare le terrain à la directive marchés publics réformant les directives 2004/17 et 2004/18 et dont la transposition est prévue au plus tard en 2014. L'arrêté entrera en application le 19 mai 2013, ce qui correspond à la fin de la PRIS V1.
Tout d’abord, à qui s’adresse cet arrêté signature électronique ? Aux pouvoirs adjudicateurs autant qu’aux opérateurs économiques. Ce pourrait être plus affirmé, notamment en ajoutant dans l’article 1er, après (…) sont signés électroniquement, la portion de phrase suivante : « par la personne habilitée du pouvoir adjudicateur ou de l’entité adjudicatrice et de l’opérateur économique », selon les modalités prévues par le présent arrêté.
La convergence avec le dispositif communautaire est confirmée dès l'article 2, alinéa 1er, qui fait référence à la TSL Européenne et au RGS même si aujourd’hui, il n'existe pas de correspondance immédiate entre les certificats référencés par la TSL et la conformité au RGS. Un point de détail mais qui a son importance,
L'article 2, II, indique que l'utilisateur d'un certificat doit donner au pouvoir adjudicateur les moyens d’effectuer la vérification. Monsieur DOUMAIN souligne que si le texte par lui-même ne présente pas de difficulté, le risque est dans la pratique. II faut éviter une situation où l'acheteur serait tenté de faire confiance systématiquement et accepterait par défaut tous les certificats. C'est pourquoi le texte rappelle à l'alinéa 2 de l'article 6 quels sont à points de vérification. Ils sont au nombre de 4. Ces conditions sont héritées de la parenté du certificat avec le certificat racine de l'autorité de certification émettrice. Cette parenté doit pouvoir être établie pour vérifier de façon catégorique, la validité, l’absence de révocation et l'identité du porteur. Rappelons au passage, que ce contrôle n’établit par la capacité juridique du porteur à engager l'entreprise. Là encore, pour les certificats étrangers une solution de type PEPPOL permet d'assurer cette vérification étendue aux autorités Européennes et Internationales.
Article 3 : Quel format pour la signature?
Au delà des formats CAdES, PAdES et XAdES expressément cités, la directive n'exclut pas le recours à d'autres formats. La DAJ a donc prévu cette possibilité dans le RC. Nous attirons l’attention de la DAJ sur le risque de cette disposition à portée floue dans son application.
En effet faut-il comprendre que l'acheteur peut limiter dans son RC la liste les formats acceptés, et imposer l’un d’entre eux exclusivement, ce qui équivaudrait à un retour à la case départ, ou bien faut-il comprendre, au contraire, qu'il peut élargir la liste à d'autres formats au delà des trois indiqués qui de toutes les façons sont de droit ?
Concernant l’utilisation des formats CAdES, PAdES et XAdES, ne serait-il pas plus simple d’aligner le texte sur la décision 2011/130/UE du 25 février 2011
Article 5 : La définition du parapheur électronique semble présupposer une utilisation pour la co-signature ou une signature multiple de plusieurs signataires. Ce n’est pas forcément le cas d’un parapheur électronique qui peut aussi être utilisé par un seul signataire pour signer une série de documents.
Article 6 : La gratuité semble acquise pour l'acheteur qui doit disposer des moyens de vérifications adaptés fournis par le signataire. Le signataire a toujours la faculté d’utiliser la solution gratuite proposée par le profil d'acheteur ou faire le choix d’un parapheur payant, dans ce cas on peut supposer que les frais éventuels de vérification lui incombent. Pour les certificats étrangers, nous ne voyons aucune contradiction entre le principe d’une vérification manuelle qui serait proposée gratuitement, comme sur le portail « Sunnystamp » de Lex Persona et une vérification automatique intégrée à la plate-forme de dématérialisation et qui dans ce cas pourrait être payante du fait de la valeur ajoutée apportée à l’acheteur.
L'article 6, 6°, fait mention de l’identifiant de la politique de signature. "La validation technique est effectuée automatiquement par le profil d’acheteur lorsque le certificat utilisé appartient à une des catégories mentionnées au 1° du II de l’article 2 et lorsque le document est signé au moyen de l’outil de signature proposé par le profil d’acheteur."
Et si ce n’est pas le cas ?
Nous comprenons ici que par identifiant de politique de signature, il faut entendre les preuves techniques restituées par le profil d'acheteur et qui assurent la traçabilité des opérations de vérification. S'il s'agit d'un certificat étranger non reconnu par le profil d'acheteur et à défaut de preuves techniques fournies par sa plate-forme, comment l'acheteur doit-il procéder ? Il nous semble dans ce cas indispensable de faire référence à une solution de vérification (de type PEPPOL) permettant la récupération d’une attestation de vérification.
Concernant l'entrée en vigueur du texte.
Le texte se présente de la manière suivante :
Les articles 1, 2 et 3 précisent le champ d’application (document des marchés publics nécessitant une signature) et les types de certificats considérés comme valides aux plans de la sécurité (PRISv1, TSL, RGS) et de l’interopérabilité (RGI, XAdES, CAdES, PAdES),
Les articles 4, 5 et 6 portent sur les conditions de création et de vérification des signatures,
L’article 7 spécifie que le nouvel arrêté entrera en vigueur le 19 mai 2013, en précisant que jusqu’à cette date les certificats de la « liste mise à disposition par voie électronique par le ministère chargé de la réforme de l’Etat » (PRISv1) peuvent être pris en compte,
L’article 8 spécifie que l’arrêté du 28 août 2006 sera abrogé au moment de l’entrée en vigueur de ce nouvel arrêté (19 mai 2013).
La date d'application au 19 mai 2013 constitue un délai particulièrement long. Les adaptations probables du texte et l'alignement sur la directive rendent ces délais incontournables pour la DAJ.
Il apparait aussi que l'arrêté du 28 août 2006 se trouve être en contradiction absolue avec le texte, puisqu'il ne reconnait pas la TSL Européenne et limite les certificats utilisés à ceux de la PRIS V1. Il n’est donc pas régulier au regard des Directives européennes.
A propos de l’arrêté du 28 août 2006 :
Celui-ci a déjà vu abroger ses articles 1, 2, 3 et 4 par l’arrêté du 14 décembre 2010, et ses articles 8, 9, 10, 11, 12, 13 et 14 par l’arrêté du 1er janvier 2010. Les articles 6, 7 et 8 qui restent concernent spécifiquement la signature électronique des candidats et des offres. Ces articles précisent que, pour être valides, les certificats doivent être « d’une part conformes au RGS et d’autre part référencés sur la liste mise à disposition par voire électronique par le ministère chargé de la réforme de l’Etat » (PRISv1).
Cependant, les trois premiers articles du projet d’arrêté assurent la conformité entre réglementation nationale et européenne aussi bien pour la sécurité (TSL) que pour les formats des signatures (XAdES, CAdES, PAdES).
Dans ces conditions, retarder l’entrée en vigueur du nouveau traité d’un an devient très dommageable au développement des échanges transfrontières, notamment pour les appels d’offre publics.Dans l'intervalle comment faire ?
La proposition d'Alain ESTERLE, est d'abroger l'arrêté d'août 2006 dès que possible et d'effectuer une entrée en application progressive de l'arrêté signature, d'abord pour les articles 1, 2et 3 puis le reste en mai 2013.
Rien n’interdit cette entrée en vigueur progressive d’autant qu'aucun texte équivalent à cet arrêté n’existe aujourd’hui.
Il est donc proposé de procéder à l’entrée en vigueur immédiate des trois premiers articles du projet d’arrêté et à l’abrogation simultanée de l’arrêté du 28 août 2006, tout en reportant au 19 mai 2013 l’entrée en vigueur des articles 4, 5 et 6 du projet d’arrêté.
Cette solution permettra de maintenir en application les dispositions prévues dans l’arrêté du 28 août 2006 puisqu’elles se retrouvent incluses dans les trois premiers articles du nouvel arrêté, tout en les élargissant dès maintenant pour englober les conditions prévues par la réglementation européenne.
Les spécificités PRISv1, d’ailleurs caduques, disparaîtront d’elles même avec la mise à jour de la « liste mise à disposition par voire électronique par le ministère chargé de la réforme de l’Etat ».
(*) Accéder au projet d'arrêté :
Thierry AMADIEU, le 27 janvier 2012
