Le NOUVEL ACHAT

Aller au contenu | Aller au menu | Aller à la recherche

Tag - DAJ

Fil des billets

jeudi, décembre 10 2015

Plates-formes de dématérialisation, les risques du défaut d'interopérabilité

PFdemat

A l’heure d’un Etat plate-forme (1) et d'une dématérialisation obligatoire qui approche à grands pas, le plan national de dématérialisation de la DAJ (2) en émettant l’hypothèse d’une mutualisation voire d’un guichet unique des marchés pour les entreprises pointe du doigt les insuffisances d’un modèle qui défie depuis 2005 les règles de l’interopérabilité et rend la vie difficile aux entreprises. Quelle solution pourrait préserver les investissements et les intérêts des opérateurs sans passer par un modèle étatique unique ?

Pour les entreprises qui souhaitent répondre aux marchés publics par voie électronique, le casse-tête de la multiplicité des plates-formes n’est pas nouveau. Les travaux de l’OEAP (3) ont permis de faire converger quelque peu les interfaces mais n’ont rien résolu à la problématique de fond qui est pour les utilisateurs de jongler avec plusieurs environnements de travail.

Le modèle économique d’une plate-forme de dématérialisation (ou profil d’acheteur) est centré sur l’acheteur et non sur l’entreprise. Il est vrai que 78 000 collectivités constituent une base de clients déjà suffisamment importante pour ne pas avoir à s’occuper en plus des 1 115 0000 fournisseurs du secteur public. Je peux en parler d’autant mieux qu'ayant pris part aux développements d’Achatpublic.com, l'attention n'a jamais été réellement portée à l'entreprise soumissionnaire.

Revenons à l'évocation d’un guichet unique étatique qui suscita une levée de boucliers des opérateurs (cf. article du Moniteur) et qui n'envisagerait rien de moins que de faire disparaître les accès multiples au profit d’un seul. Cette mesure, vivement souhaitée par les entreprises, renverrait les plates-formes à un rôle de simple composant technique connecté au back-office des services achats, les coupant ainsi du contact direct avec les entreprises.

Les entreprises continueront à constituer un gisement mal exploité tant que les plates-formes se limiteront à délivrer un service de peu de valeur ajoutée. Ne s’agirait-il pas plutôt de renverser un paradigme qui consistait jusqu’alors à faire des plates-formes un outil exclusivement dédié aux acheteurs pour offrir enfin ce qu'attendent les entreprises : un accès unique, simple et sécurisé voire dans certains cas totalement intégré, permettant de relier leur système d’information à celui de l’acheteur public. Un pur phantasme, pas si sûr !

Comment rendre les plates-formes interopérables ?

Aujourd’hui même, Il existe un programme de la Commission Européenne dénommé E-SENS (4) qui s’inscrit dans la continuité de PEPPOL(5) et qui ne vise rien d’autre que de permettre aux entreprises de répondre à un appel d’offres à partir de la plate-forme de leur choix communiquant avec celle d’un acheteur situé dans un autre pays. Selon ce modèle, il serait envisageable de relier les plates-formes entre elles par un système de reconnaissance mutuelle et ainsi de rendre accessibles tous les acheteurs publics européens (voir la vidéo en bas de page).

Un tel schéma pourrait relancer un modèle qui risque de pâtir de son défaut d'interopérabilité en remettant l'opérateur économique au centre du dispositif et sans attendre un décret qui vienne légiférer en la matière.

Certains rétorqueront que cela reste une ambition européenne et n’est pas réaliste à notre échelle. Il est certes difficile d’imaginer une interopérabilité globale de nos marchés nationaux alors même que nos partenaires européens sont en passe de la réussir au plan International tant qu'une myopie augmentée de nos complexités nous condamne à l'inaction.

Il y a deux conditions pour rendre cette approche possible. Se tourner résolument vers les standards qui rendront les plates-formes techniquement compatibles entre elles sur la base d'une structuration des offres identique; utiliser un réseau sécurisé et ouvert (modèle 4 coins) sur le modèle de celui mis en place par PEPPOL pour permettre l’acheminement sécurisé des documents cryptés et signés dans la confidentialité requise. J’ajouterais finalement une troisième condition. Que l’on prenne enfin la bonne mesure de travaux européens qui pourraient faire gagner du temps et de l’argent à tout le monde si l'on acceptait de leur porter un peu d'attention.




(1) Etat Plate-forme http://etatplateforme.modernisation...
(2) DAJ "Direction des Affaires Juridiques"
(3) OEAP "Observatoire Economique de l'Achat Public"
(4) eSENS "Electronic Simple European Networked Services" www.esens.eu
(5) PEPPOL "Pan European Public Procurement Online" www.peppol.eu

mercredi, octobre 24 2012

Parapheur électronique, retour d’expérience

Petit-déjeuner cdc-fast

Le petit déjeuner organisé par CDC-FAST et NOVADYS le 16 octobre à Paris fût l'occasion d'apporter notre témoignage sur l’utilisation du parapheur électronique (1). La possibilité d'utiliser un parapheur électronique par les entreprises pour la signature des réponses dématérialisées aux marchés publics a été confirmée par l'arrêté du 15 juin 2012. Nous avons participé à la concertation organisée par la DAJ, Direction des Affaires Juridiques et abondamment commenté ce texte, il est inutile de le faire ici (2).

Récemment installé dans les laboratoires Sanofi Aventis France, le parapheur CDC-FAST est utilisé quotidiennement par le service des marchés réunissant une douzaine de personnes. Suite à la fusion, son utilisation a été récemment étendue aux laboratoires Genzyme.

  • Le parapheur et la GED

A la question, voyez-vous une complémentarité entre le parapheur et un outil de GED ? La réponse est oui catégoriquement. Mais attention, il ne faut pas confondre les deux. Le parapheur et la GED sont par nature "génétiquement" différents. La GED est un outil permettant de gérer un flux documentaire (workflow) autour de documents supportant des modifications successives ; alors que le parapheur est un outil juridique qui ne traite que de documents figés. Alors que la finalité d’une GED est essentiellement organisationnelle, la finalité du parapheur est plutôt juridique. La complémentarité découle en grande partie de ce principe. Attention à ne pas confondre les deux. Les collectivités ont souvent des circuits décisionnels alambiqués avec plusieurs services validant le même document, alors que pour les entreprises, le circuit est généralement plus simple. Confondre les fonctions de GED en introduisant des circuits juridiques au milieu de processus métier conduirait à introduire des risques pour l’organisation. Pour faire simple, disons que la GED gère des workflow et des processus métier alors que le parapheur ne gère que des cinématiques supportées par des profils d’utilisateurs, agent , superviseur , validateur, signataire.

  • Techniquement parlant…

Sur le plan technique, le parapheur surmonte de façon transverse les processus métier de l’organisation. Cette définition oriente en partie les choix techniques. C’est pourquoi il faut privilégier à notre avis, un mode SaaS qui est non intrusif et permet un accès en mode distant sécurisé via le réseau le l’entreprise. Sur ce plan, le niveau de confiance apporté par CDC-FAST est élevé. Au-delà de l’institution que représente la Caisse des Dépôts elle-même, le choix de CDC-FAST est de s’appuyer sur des technologies de confiance hébergée sur les serveurs CDC, une architecture 3 tiers hautement sécurisée. Fonctionnellement la traçabilité est assurée de bout en bout et les empreintes informatiques des signatures sont conservées sur les serveurs CDC-ARKHINEO pour restitution en cas de litige. La mission de tiers de confiance est de ce point vue intégralement remplie par CDC-FAST.

  • Sur le plan de l’organisation

Le parapheur offre plusieurs avantages pour l’organisation des services.

• Il permet de disposer d’un seul circuit de signature pour toute l’entreprise, plus fiable et plus sûre,

• Pour les marchés publics, le parapheur évite d’utiliser les outils de signatures hétérogènes des plates-formes, formats multiples, signatures détachées, restitution partielle ou imparfaite des preuves voire des signatures elles-mêmes, vérification quasi-impossible… ce qui laisse augurer d’un véritable casse-tête pour la restitution dans le temps des preuves à partir d’un matériel souvent hétéroclite,


• Le parapheur évite aussi que les services utilisateurs (gestionnaires et signataires) s’attendent mutuellement ou que le signataire soit obligé d’être physiquement présent auprès de l’assistante lors du dépôt de l’offre pour signer parce que la plate-forme ne distingue pas la signature des documents du dépôt lui-même.

Mais laissons parler les utilisateurs…

« Le parapheur facilite le travail de mon service. L’envoi à la signature ne prend que quelques minutes. Chacun travaille ensuite de son côté sans s’attendre mutuellement ou se préoccuper d’un rendez-vous de signature. Le parapheur gère l’ensemble du circuit. » Mme Christine RAUMER – Responsable de la cellule marchés- Sanofi Aventis France.

  • Sur la conduite du projet

Quelles précautions faut-il prendre pour la conduite du projet lui-même ?
D’abord procéder un petit audit préliminaire. La signature électronique qui est un sujet connexe à la dématérialisation implique une compréhension d’ensemble du sujet. En effet, la dématérialisation touche à plusieurs domaines, juridique, technique, organisation et peut-être avant tout le métier. Bien comprendre les enjeux, les relations et les échanges avec les partenaires, l’interaction des utilisateurs internes ou externes à l’organisation. S’aider d’une mise à plat des processus (BPM) peut-être utile pour bien comprendre les mécanismes. Cette phase d’audit est déjà par elle-même suffisamment structurante pour révéler des améliorations possibles des processus avant même d’envisager leur dématérialisation.

Il faut ensuite, associer dès que possible les utilisateurs aux développements du projet. Il n’est pas seulement question ici de conduite du changement mais comme chacun sait, dans ce type de projet, le point de vue de l'utilisateur est indispensable. Parce que « le diable est dans les détails » et que cette réalité échappe le plus souvent au management et aux équipes projets si elles n’y prennent garde...

(1) Petit-déjeuner CDC-FAST – NOVADYS du 16 octobre ( Présentation téléchargeable/ 5Mo)

(2) Nos commentaires sur l'arrêté du 15 juin 2012, rappel des articles parus sur blog à ce sujet :

explication de texte

mode d'emploi

projet d'arrêté, nos commentaires

mardi, octobre 23 2012

Arrêté signature électronique du 15 juin 2012, l'explication de texte de la DAJ

Le 22 octobre à l'occasion d'une réunion de l'OEAP, Monsieur Serge DOUMAIN de la Direction des Affaires Juridiques s'explique sur l'arrêté signature electronique des marchés publics. Il rappelle que ce texte est motivé par la recherche d'une plus grande simplicité et la nécessité d'un élargissement de la signature au cadre européen. La DAJ qui avait déjà engagé une vaste concertation à laquelle nous avions pris part (1) se veut rassurante quant à la mise en application du dispositif. Nous saluons au passage cette avancée qui consacre l'utilisation du parapheur pour les entreprises; sujet pour lequel nous avions longtemps milité et quelques autres aussi. Le texte qui ne dispose que pour les marchés publics n'est pas figé et est encore susceptible d'évolutions en fonction du retours des utilisateurs précise la DAJ.

  • Certificats


Rappel des types certificats électroniques objet du présent arrêté. L'abrogation de l'arrêté du 28 août 2006 rend caduque la liste PRIS dès l'entrée en vigueur du RGS, le 19 mai 2013 (2). D'ici là, les certificats PRIS V1 pourront être utilisés. La prise en compte de ces disposition par les autorités de certification et l'organisation de la migration gratuite ou non vers une conformité RGS soulève quelques interrogations. Il faudra être vigilant sur ce point. La DAJ rappelle à ce sujet que le référencement n'est pas obligatoire pour produire du certificat RGS. Elle relève uniquement de la politique de certification décidée par l'AC.

Pour les certificats étrangers, il sont valables dès l'instant qu'ils répondent à des normes équivalentes au RGS. Comment établir cette correspondance ? Nous avions attiré votre attention sur le mapping des paramètres du RGS en regard des conditions de l'ETSI notamment pour les autres certificats européens; travail effectué par Alain ESTERLE dans le cadre de PEPPOL. (3)

  • Vérification mode d'emploi


La DAJ indique qu'un mode d'emploi à l'attention des acheteurs doit être ajouté à la réponse dématérialisée pour indiquer les moyens de vérification de la signature. Le fait que ce mode d'emploi soit inclus et non extérieur à l'offre elle-même ne semble pas poser de problème aux acheteurs (le mettre à l'extérieur serait une source d'oubli et compliquerait la réponse). Nous avions pris les devants en recommandant aux utilisateurs d'un parapheur électronique maison, qu'un document « politique de signature » soit systématiquement ajouté à l'offre transmise. Ce document devant indiquer, le type de parapheur utilisé, le format de signature et les moyens de vérification utilisés par l'acheteur.


  • Les formats


Les formats avancés CADES, XADES, PADES (confirmé par décision de la Commission Européenne) s'imposent par défaut à l'acheteur. D'autres formats peuvent être utilisés s'ils sont spécifiés explicitement dans le RC. La problématique de vérification reste entière. La DAJ souligne que cette vérification est de la responsabilité de l'acheteur et ne saurait être déléguée. Au passage, quelques mots sur la signature PDF (PADES) qui présente bien des avantages en terme de vérifications. Autoportante, PADES incorpore les moyens de vérification à l'aide du lecteur ACROBAT dans le document lui même. Pour l'utilisateur, cette signature est rassurante car elle présente l’avantage d'une représentation graphique par un tampon cryptographique qui intègre les paramètres de vérification juridique. Les limites de PADES sont liées à la politique de référencement d'ADOBE qui ne référence pas systématiquement les autorités de certification (référencement payant). Cela implique que ce référencement soit effectué manuellement par le vérificateur directement dans sont lecteur ACROBAT. PADES ne permet pas non plus de signer d'autres documents que PDF ce qui exclu d'autres types de fichiers (.xls, .doc etc.). Pour ce type de fichier, c'est le mode détaché qui prévaut (XADES, CADES etc.) En pratique, la transformation systématique de tous les fichiers en PDF avant signature nous semble souhaitable pour éviter les erreurs de manipulation. Pour résoudre ce problème et sauf contre-indication du RC, il suffit d'une version PDF signée du tableau Excel ajoutée systématiquement par l'entreprise à la version native utilisable par l'acheteur mais celle-ci non signée.

  • LexPersona, le parapheur

Présentation du parapheur Sunnystamp de LexPersona qui insiste qur le fait que la vérification ne donnera pas le même résultat sans une cohérence des critères de validation. D'où la nécessité d'une table de correspondance. Pour les certificats LP met à disposition de l’interrogateur PEPPOL sur son site. (2).

En conclusion, ce texte nous semble encourager les avancées de la dématérialisation même si la charge de la vérification qui repose désormais sur les acheteurs soulève de vrais questions. Evitons toutefois de tomber dans le travers d'une vérification dont les paramètres trop contraignants risquerait de freiner les développements ultérieurs. La complexité technique est particulièrement anxiogène pour l'ensemble des utilisateurs. A ce propos, que se passe t-il en cas de survenance d'un litige, s'inquiète un acheteur ? La question jurisprudentielle laisse la DAJ sans réponse qui souligne que le juge se trouve particulièrement démuni pour traiter de la haute technicité du sujet. A notre avis, plus nous augmenterons les conditions techniques de recevabilité plus nous multiplierons les sources de litiges. Où faut-il positionner le curseur ? Comme toujours en telle matière "au milieu se tient la vertu". Soyons donc pragmatique en présumant d'abord de la bonne foi de l'entreprise dès l'instant que la signature apposée sur un fichier est manifeste.
(1) projet d'arrêté, nos commentaires

(2) arrêté signature, mode d'emploi

(3) vérification de la qualité d'un certificat avec PEPPOL

samedi, juillet 14 2012

L'arrêté signature électronique, mode d'emploi

L’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics vient de paraître au J.O. du 3 juillet 2012.

Par Thierry BEAUGE et Thierry AMADIEU

Approchés par la DAJ "direction des affaires juridiques", lors de son élaboration, nous avions insisté pour que l’utilisation de la signature électronique soit aussi aisée que la signature papier, c’est à dire qu’il y ait libre choix du certificat et du support de signature. C’est désormais chose faite avec ce nouvel arrêté, qui au demeurant, se met en conformité avec le droit européen sur la validité de certificats étrangers. Nous avions ensuite attiré l’attention de la DAJ sur l’abrogation indispensable de l’arrêté du 28 août 2006 en contradiction avec le droit communautaire puisqu’il ne connaissait que les certificats de la PRIS.

Concernant les modalités d’application, l’arrêté est applicable au 1er octobre 2012. Entre cette date et jusqu’au 18 mai 2013 date d’entrée en vigueur du RGS, les certificats PRIS V1 pourront encore être utilisés mais ensuite ils disparaitront.

Commentaires de l’arrêté :

1. Quels certificats de signature ?
L’article 2 vient ouvrir le champ des certificats recevables. Désormais, l’usage des certificats de signature dans les marchés publics n’est plus limité à la liste des certificats agréés de la liste PRIS V1 . L’entrée en vigueur du RGS le 19 mai 2013 suppose la fin de cette disposition.

Tout certificat de signature conforme au RGS, référentiel général de sécurité ou présentant des conditions de sécurité équivalentes pour les certificats étrangers est accepté. Voir notre notre article sur la vérification de la qualité des certificats étrangers avec PEPPOL (*)

En clair, trois catégories de certificats sont acceptées :

  1. ceux appartenant à la liste de confiance française ;
  2. ceux appartenant à une liste de confiance d’un autre État membre (pour les certificats qualifiés équivalents au niveau 2 ou 3 du RGS) ;
  3. ceux n’appartenant pas à une liste de confiance, délivrés par une autorité de certification qui répondent à des normes équivalentes à celles du référentiel général de sécurité . L’opérateur économique est libre d’utiliser le certificat de son choix, pourvu que celui-ci remplisse les obligations minimales du référentiel de sécurité (RGS).Les profils d’acheteurs (les plates-formes de dématérialisation) ont jusqu’au 19 mai 2013 pour se mettre en conformité avec les spécifications techniques qui en découlent pour utiliser les produits de signature électronique conformes au RGS.

2. Qu’est-ce que le référentiel général de sécurité (RGS) ?
Le RGS est un ensemble de normes fixées par la DGME que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique ; identification, signature, confidentialité et horodatage. C’est lui qui par exemple fixe le niveau 3 de sécurité exigé pour les signatures de marchés publics.

__ 3. Quels formats de signature ?
__ Le format de signature doit être conforme au RGI . L’article 3 de l’arrêté prévoit en outre, que soient acceptés les formats de signature avancés : XAdES, CAdES et PAdES, conformément à la décision de la Commission européenne de février 2011. Ces trois formats doivent être privilégiés mais ne sont pas exclusifs d’autres formats qui pourraient être acceptés.

4. Quel outil de signature ?
L’article 4 dispose que le signataire utilise l’outil de son choix. Tout outil de signature proposant un certificat conforme au RGS et un format de signature de type XAdES, CAdES et PAdES est dont recevable par la plate-forme.

L’acheteur ne peut plus imposer l’emploi exclusif de l’outil de signature de la plate-forme. Cela était une source de contentieux qui donna lieu à une jurisprudence récente (**)

En revanche, l’opérateur économique utilisant un autre outil que celui de la plate-forme doit transmettre gratuitement les éléments permettant de procéder à la vérification de la validité de la signature et de l’intégrité du document (qu’il n’a pas été modifié depuis sa signature). Ce n’est pas l’acheteur proprement dit, mais son profil d’acheteur c’est à dire sa plate-forme, qui procèdera à la vérification. Que veut dire « vérifier la validité de la signature » ? Cela veut dire pouvoir vérifier au moins :

  1. L’identité du signataire
  2. L’appartenance du certificat de signature à l’une des trois catégories de certificats mentionnés ci-dessus;
  3. Une politique de certification conforme au moins aux niveaux étoilés du RGS
  4. Le respect du format de signature ;
  5. Le caractère non échu ou non révoqué du certificat ;
  6. L’intégrité du fichier signé.

Dans le cas d’un certificat référencé sur l’une des liste mentionnées plus haut Etat ou TSL Européenne, la sécurité est présumée et les seules vérifications à effectuer sont celles du niveau de sécurité. Pour les certificats non listés, c’est-à-dire pouvant émaner de pays tiers, il faudra prouver la correspondance avec le niveau RGS dans ce cas l’opérateur transmet les éléments de vérification complémentaires. Là encore PEPPOL peut aider dans cette vérification (*).

L’opérateur économique qui signe avec les outils de signature de la plate-forme est dispensé de l’envoi de la procédure de vérification de la signature.

5. Possibilité d’utiliser un parapheur électronique

L’article 6 de l’arrêté autorise la signature électronique au moyen d’un parapheur électronique. Un parapheur électronique est un outil qui permet le regroupement de documents à valider ou à signer, la signature d’un même document par plusieurs signataires sans en altérer l’intégrité, par une utilisation aussi bien locale qu’en ligne. Cet outil met fin à la difficulté rencontrée par le fait que le signataire du marché était rarement celui qui envoyait la candidature et l’offre par électronique.

Conclusion : cet arrêté permet une modernisation et une avancée de la dématérialisation des marchés publics. Il banalise et facilite l’utilisation de la signature électronique dans les marchés publics, en toute sécurité. Il met aussi la France en état de pouvoir faire face aux mesures de relance de la dématérialisation par la Commission européenne dans les prochaines directives marchés publics. Il entre en vigueur le 1er octobre 2012.

Thierry AMADIEU et Thierry BEAUGE, le 14 juillet 2012

  • (1) Les documents de référence de l'administration électronique
  • (*) voir article du blog Nouvelachat sur la vérification des certificats étrangers avec PEPPOL et la correspondance avec le RGS
  • (2) EU Trusted Lists of Certification Service Providers
  • (3)L’arrêté impose en ce cas au signataire de transmettre les éléments nécessaires à la vérification, en plus des éléments nécessaires à la vérification de la validité de la signature elle même. Par exemple l’adresse du site internet de référencement dans le pays tiers, une preuve de la qualification du prestataire ou du produit, l’adresse de l’autorité de certification qui a délivré le certificat de signature, qui mentionne la politique de certification. Voir sur ce point , note de renvoi (*).
  • (4) Direction Générale de la modernisation de l’État du MINEFI.
  • (5) RGI : référentiel général d’interopérabilité.
  • (**) Ordonnance de référé du 10 octobre 2010, Tribunal administratif de Bordeaux, B.BRAUN Médical / CHU de Bordeaux

- page 1 de 3