Le NOUVEL ACHAT

Aller au contenu | Aller au menu | Aller à la recherche

Tag - DAJ

Fil des billets

lundi, janvier 30 2012

Le projet d'arrêté "signature électronique", nos commentaires

Par Thierry AMADIEU le lundi, janvier 30 2012, 15:52 - DEMATERIALISATION

Contributeurs : Alain Esterle, Thierry BEAUGE ,Thierry AMADIEU , Alain DUCASS et François DEVORET

La présentation faite par Monsieur DOUMAIN de la DAJ dans le cadre de la réunion de l'OEAP du 26 janvier, a permis de préciser un certain nombre de points concernant le projet d'arrêté sur la signature électronique (*).

Nous avions indiqué dans notre précédent article du 25 janvier, que l'arrêté prépare le terrain à la directive marchés publics réformant les directives 2004/17 et 2004/18 et dont la transposition est prévue au plus tard en 2014. L'arrêté entrera en application le 19 mai 2013, ce qui correspond à la fin de la PRIS V1. Tout d’abord, à qui s’adresse cet arrêté signature électronique ? Aux pouvoirs adjudicateurs autant qu’aux opérateurs économiques. Ce pourrait être plus affirmé, notamment en ajoutant dans l’article 1er, après (…) sont signés électroniquement, la portion de phrase suivante : « par la personne habilitée du pouvoir adjudicateur ou de l’entité adjudicatrice et de l’opérateur économique », selon les modalités prévues par le présent arrêté.

La convergence avec le dispositif communautaire est confirmée dès l'article 2, alinéa 1er, qui fait référence à la TSL Européenne et au RGS même si aujourd’hui, il n'existe pas de correspondance immédiate entre les certificats référencés par la TSL et la conformité au RGS. Un point de détail mais qui a son importance,

L'article 2, II, indique que l'utilisateur d'un certificat doit donner au pouvoir adjudicateur les moyens d’effectuer la vérification. Monsieur DOUMAIN souligne que si le texte par lui-même ne présente pas de difficulté, le risque est dans la pratique. II faut éviter une situation où l'acheteur serait tenté de faire confiance systématiquement et accepterait par défaut tous les certificats. C'est pourquoi le texte rappelle à l'alinéa 2 de l'article 6 quels sont à points de vérification. Ils sont au nombre de 4. Ces conditions sont héritées de la parenté du certificat avec le certificat racine de l'autorité de certification émettrice. Cette parenté doit pouvoir être établie pour vérifier de façon catégorique, la validité, l’absence de révocation et l'identité du porteur. Rappelons au passage, que ce contrôle n’établit par la capacité juridique du porteur à engager l'entreprise. Là encore, pour les certificats étrangers une solution de type PEPPOL permet d'assurer cette vérification étendue aux autorités Européennes et Internationales.

Article 3 : Quel format pour la signature?

Au delà des formats CAdES, PAdES et XAdES expressément cités, la directive n'exclut pas le recours à d'autres formats. La DAJ a donc prévu cette possibilité dans le RC. Nous attirons l’attention de la DAJ sur le risque de cette disposition à portée floue dans son application. En effet faut-il comprendre que l'acheteur peut limiter dans son RC la liste les formats acceptés, et imposer l’un d’entre eux exclusivement, ce qui équivaudrait à un retour à la case départ, ou bien faut-il comprendre, au contraire, qu'il peut élargir la liste à d'autres formats au delà des trois indiqués qui de toutes les façons sont de droit ? Concernant l’utilisation des formats CAdES, PAdES et XAdES, ne serait-il pas plus simple d’aligner le texte sur la décision 2011/130/UE du 25 février 2011

Article 5 : La définition du parapheur électronique semble présupposer une utilisation pour la co-signature ou une signature multiple de plusieurs signataires. Ce n’est pas forcément le cas d’un parapheur électronique qui peut aussi être utilisé par un seul signataire pour signer une série de documents.

Article 6 : La gratuité semble acquise pour l'acheteur qui doit disposer des moyens de vérifications adaptés fournis par le signataire. Le signataire a toujours la faculté d’utiliser la solution gratuite proposée par le profil d'acheteur ou faire le choix d’un parapheur payant, dans ce cas on peut supposer que les frais éventuels de vérification lui incombent. Pour les certificats étrangers, nous ne voyons aucune contradiction entre le principe d’une vérification manuelle qui serait proposée gratuitement, comme sur le portail « Sunnystamp » de Lex Persona et une vérification automatique intégrée à la plate-forme de dématérialisation et qui dans ce cas pourrait être payante du fait de la valeur ajoutée apportée à l’acheteur.

L'article 6, 6°, fait mention de l’identifiant de la politique de signature. "La validation technique est effectuée automatiquement par le profil d’acheteur lorsque le certificat utilisé appartient à une des catégories mentionnées au 1° du II de l’article 2 et lorsque le document est signé au moyen de l’outil de signature proposé par le profil d’acheteur."

Et si ce n’est pas le cas ?
Nous comprenons ici que par identifiant de politique de signature, il faut entendre les preuves techniques restituées par le profil d'acheteur et qui assurent la traçabilité des opérations de vérification. S'il s'agit d'un certificat étranger non reconnu par le profil d'acheteur et à défaut de preuves techniques fournies par sa plate-forme, comment l'acheteur doit-il procéder ? Il nous semble dans ce cas indispensable de faire référence à une solution de vérification (de type PEPPOL) permettant la récupération d’une attestation de vérification.

Concernant l'entrée en vigueur du texte.
 Le texte se présente de la manière suivante : Les articles 1, 2 et 3 précisent le champ d’application (document des marchés publics nécessitant une signature) et les types de certificats considérés comme valides aux plans de la sécurité (PRISv1, TSL, RGS) et de l’interopérabilité (RGI, XAdES, CAdES, PAdES), Les articles 4, 5 et 6 portent sur les conditions de création et de vérification des signatures,

L’article 7 spécifie que le nouvel arrêté entrera en vigueur le 19 mai 2013, en précisant que jusqu’à cette date les certificats de la « liste mise à disposition par voie électronique par le ministère chargé de la réforme de l’Etat » (PRISv1) peuvent être pris en compte, L’article 8 spécifie que l’arrêté du 28 août 2006 sera abrogé au moment de l’entrée en vigueur de ce nouvel arrêté (19 mai 2013). La date d'application au 19 mai 2013 constitue un délai particulièrement long. Les adaptations probables du texte et l'alignement sur la directive rendent ces délais incontournables pour la DAJ.

Il apparait aussi que l'arrêté du 28 août 2006 se trouve être en contradiction absolue avec le texte, puisqu'il ne reconnait pas la TSL Européenne et limite les certificats utilisés à ceux de la PRIS V1. Il n’est donc pas régulier au regard des Directives européennes.

A propos de l’arrêté du 28 août 2006 :

Celui-ci a déjà vu abroger ses articles 1, 2, 3 et 4 par l’arrêté du 14 décembre 2010, et ses articles 8, 9, 10, 11, 12, 13 et 14 par l’arrêté du 1er janvier 2010. Les articles 6, 7 et 8 qui restent concernent spécifiquement la signature électronique des candidats et des offres. Ces articles précisent que, pour être valides, les certificats doivent être « d’une part conformes au RGS et d’autre part référencés sur la liste mise à disposition par voire électronique par le ministère chargé de la réforme de l’Etat » (PRISv1).

Cependant, les trois premiers articles du projet d’arrêté assurent la conformité entre réglementation nationale et européenne aussi bien pour la sécurité (TSL) que pour les formats des signatures (XAdES, CAdES, PAdES). Dans ces conditions, retarder l’entrée en vigueur du nouveau traité d’un an devient très dommageable au développement des échanges transfrontières, notamment pour les appels d’offre publics.Dans l'intervalle comment faire ?

La proposition d'Alain ESTERLE, est d'abroger l'arrêté d'août 2006 dès que possible et d'effectuer une entrée en application progressive de l'arrêté signature, d'abord pour les articles 1, 2et 3 puis le reste en mai 2013.

Rien n’interdit cette entrée en vigueur progressive d’autant qu'aucun texte équivalent à cet arrêté n’existe aujourd’hui. Il est donc proposé de procéder à l’entrée en vigueur immédiate des trois premiers articles du projet d’arrêté et à l’abrogation simultanée de l’arrêté du 28 août 2006, tout en reportant au 19 mai 2013 l’entrée en vigueur des articles 4, 5 et 6 du projet d’arrêté.

Cette solution permettra de maintenir en application les dispositions prévues dans l’arrêté du 28 août 2006 puisqu’elles se retrouvent incluses dans les trois premiers articles du nouvel arrêté, tout en les élargissant dès maintenant pour englober les conditions prévues par la réglementation européenne. Les spécificités PRISv1, d’ailleurs caduques, disparaîtront d’elles même avec la mise à jour de la « liste mise à disposition par voire électronique par le ministère chargé de la réforme de l’Etat ».

(*) Accéder au projet d'arrêté :

Thierry AMADIEU, le 27 janvier 2012

mercredi, janvier 25 2012

La DAJ fait un appel à commentaires sur le projet d'arrêté "signature électronique"

Par Thierry AMADIEU le mercredi, janvier 25 2012, 16:56 - MARCHES PUBLICS

La DAJ est dans la dernière ligne droite. L'arrêté signature assouplissant les conditions d'utilisation de la signature électronique et très attendu de l'ensemble des opérateurs économiques est dans sa phase finale. Vos commentaires sont les bienvenus..

De quoi s'agit-il ? Les opérateurs économiques pourront désormais,

Utiliser le certificat et la signature de leur choix, sous réserve de sa conformité aux normes du référentiel général d’interopérabilité, et au référentiel général de sécurité.
 Tous types de certificats sont utilisables sous réserve de correspondre au spécifications du RGS, c'est à dire être un certificat de niveau 2 ** étoiles ou plus. Il n'est plus fait référence à la PRIS V1 , qui reste bien sûr valable mais sort du champ pour préparer le terrain à la prochaine directive et le décret RGS prévu en 2013. Nous sommes donc un peu au milieu de nulle part sur le plan des textes mais d'un point de vue pratique rien ne change pour l'utilisateur c'est l'essentiel.

''Art. 2. − I. Les pouvoirs adjudicateurs, entités adjudicatrices et opérateurs économiques utilisent un certificat de signature appartenant : 2° à l’une des catégories de certificats délivrées par une autorité de certification européenne mentionnées sur la Trust-service Status List (TSL). La TSL est mise à disposition du public par voie électronique par la Commission européenne ;''

Le pouvoir adjudicateur ne saurait refuser une signature réalisée à partir d'un certificat Etranger référencé dans la TSL Européenne. Si cette TSL tient une liste de certificats à jour, elle n'associe aucun moyen de vérification. C'est pourquoi le projet PEPPOL a développé un outil de vérification permettant en quelques clics d'interroger la plupart des certificats listés.

''Art. 3. – I. Le format de signature est conforme au référentiel général d’interopérabilité défini par le décret du 2 mars 2007 susvisé. II. Sauf indication contraire dans le règlement de la consultation ou la lettre de consultation, la signature est au format XAdES, CAdES ou PAdES,''
Quant au format, celui-ci conforme au RGI, invite sauf avis contraire du RC à l'utilisation des formats avancés de signature XML (XADES) CMS (CADES) et PDF (PADES). Cette décision est de nature à encourager les opérateurs à intégrer ces format à leurs outils ce qui est une bonne chose et conforme au dispositif Européen. La porte ouverte laissée aux acheteurs, permettant d'imposer un format autre dans leur RC, nous semble discutable si cette disposition n'est pas accompagnée de plus de précisions sur les conditions de dérogations.

''Art. 4. – Pour apposer sa signature, le signataire utilise l’outil de signature de son choix. S’il n’utilise pas l’outil de signature proposé par le profil d’acheteur, il transmet, avec le document signé, l’outil permettant de procéder gratuitement à la vérification de la signature.''
Le parapheur électronique externe est désormais utilisable sans restriction. Nous avons beaucoup milité pour cette solution de nature à encourager la dématérialisation des réponses aux appels d'offres. Le parapheur électronique est un véritable "véhicule juridique", propriété de l'entreprise qui permet de sécuriser et de désynchroniser la signature de la soumission électronique.

Nous invitons toutefois les utilisateurs à donner à l'acheteur un accès facilité aux moyens de vérifications et si possible à rédiger un document "politique de signature" glissé dans chaque réponse à un appel d'offres qui décrira l'outil et le format de signature utilisé par l'entreprise et quelques clés pour vérifier cette signature.

Accéder au projet d'arrêté :

Accéder au site de l'OEAP

Thierry AMADIEU, le 25 janvier 2012

mercredi, août 10 2011

La Direction des Affaires Juridiques (DAJ) annonce la fin de la pause réglementaire

Par Thierry AMADIEU le mercredi, août 10 2011, 11:23 - DEMATERIALISATION

A l’occasion du colloque qui s’est tenu le 28 juin dernier dans les locaux de l’Université de pharmacie à Paris V Descartes, Monsieur Serge Doumain de la DAJ dresse un bilan contrasté de la dématérialisation et expose son plan d’action pour les prochains mois. Il justifie les raisons d’un arrêt de la pause réglementaire par la nécessité de simplifier les règles.
Depuis janvier 2005, la DAJ aura fait preuve d’une bonne dose de conviction et de pédagogie, pour convaincre des acheteurs publics récalcitrants et les entreprises frileuses. (cf. notre article, les réponses de madame Bergeal « Dématérialisation, mode d’emploi (chat du Bercy Colloc. du 28 septembre). Serge Doumain a beau tambouriner que le démat n’a jamais autant progressé, (*) sa conviction a de quoi être ébranlée tant les résultats sont mitigés. Pire encore, pour 61% des utilisateurs expérimentés, la situation ne s’est pas améliorée selon une récente enquête commanditée par la DAJ. (cf. notre article « La dématérialisation vue par les acheteurs publics, une enquête de la DAJ (décembre 2010) ».

Les freins identifiés en 2008 persistent en 2011. Uniformisation des plateformes, simplification des formulaires, formation et information insuffisante des opérateurs, chaîne de dématérialisation incomplète vers le payeur, une simplification nécessaire de la réglementation etc.A cela s’ajoute l’émergence de nouvelles attentes révélées lors des récentes assises de la simplification : nécessité d’un coffre-fort électronique pour les entreprises, un portail unique d’annonces de marchés, la mutualisation des dossiers de candidature, la réponse aux variantes indépendamment de l’offre de base etc. Finalement, la bonne nouvelle, c’est que les attentes des acheteurs et des entreprises sont très convergentes. La DAJ invite les groupes de travail à se former entre acheteurs et fournisseurs pour combiner leurs efforts vers des solutions communes.Pourquoi aura-t-il fallu attendre tout ce temps pour découvrir les vertus d’une approche fondée sur le consensus entre Administration et opérateurs économiques.

De son côté la DAJ décide de suspendre la pause réglementaire. Peut-être encouragée en cela par les conclusions du livre vert de la Commission Européenne, qui pointe le souhait de mesures obligatoires, (cf. notre article « L'Europe doit imposer à défaut de convaincre ») . Mais en France, nous n'en sommes pas encore là. La DAJ rappelle que le 1er janvier 2012, pour les achats supérieurs à 90 000 Euros HT, tout acheteur sera tenu d’accepter les offres transmises par voie électronique par l’opérateur économique. Première conséquence, suspension de l’arrêté d’expérimentation initialement prévu jusqu’en 2010. Autre mesure, préparation d’un décret venant modifier le Code des Marchés publics. L’article 56 sera réécrit à droit constant dans une optique de simplification et de meilleure lisibilité, abrogation de l’arrêté du 28 août 2006 pris en application des articles 48 et 56 du CMP. Le SAD « système d’acquisition dynamique » jusqu’alors limité aux fournitures courantes sera étendu (article 78) sera étendu aux achats de services courants. Un projet d’arrêté relatif à la signature électronique est en préparation. Pour encourager l’usage de la signature ; celui-ci visera à simplifier l’acquisition d’un certificat électronique sans dégradation des conditions de sécurité évidemment. Il permettra la signature via un logiciel ou un parapheur électronique choisi par le signataire et non forcément imposé par l’acheteur.

Peut-être est-il utile de préciser, que la volonté de la DAJ n’est pas d’accompagner cette fin de la pose réglementaire d’une nouvelle inflation de textes mais bien au contraire d’une décrue générale.
Thierry AMADIEU
(*) Entre le 1er janvier et le 31 décembre 2010, 24 834 procédures ont été dématérialisées dont 18 119 MAPA donnant lieu à 10 105 publications au BOAMP, 340 354 retraits de DCE et 9 909 dépôt électroniques par les entreprises (source DAJ)

lundi, janvier 17 2011

La dématérialisation vue par les acheteurs publics, une enquête de la DAJ (décembre 2010)

Par Thierry AMADIEU le lundi, janvier 17 2011, 11:00 - DEMATERIALISATION

Enquête de la DAJ "La dématérialisation vue par les acheteurs publics"
En réponse à l'enquête de juillet 2010 qui tentait d’évaluer la perception des entreprises, la DAJ renouvelle l’initiative, auprès des acheteurs publics cette fois, pour mesurer la progression de la dématérialisation dans les collectivités. Cette enquête avait pour objectifs de connaître l'opinion des acheteurs sur la dématérialisation et mesurer les disparités entre les niveaux de pratique. Dresser, à partir des estimations données par les participants, un panorama de l'achat dématérialisé, en volume et par grandes catégories de prestations. Déterminer les aspects de la dématérialisation qui sont les plus utilisés. Finalement, comprendre les freins à son développement dans les marchés publics. 337 acheteurs publics se sont exprimés parmi lesquels, 51% de collectivités territoriales, 33 % des services de l’Etat, 6 % d’établissements hospitaliers le reste de collectivités diverses. 94 % des répondants déclarent avoir recours régulièrement à la dématérialisation de leurs marchés. La grande difficulté de l'enquête vient de la représentativité de l'échantillon parmi 36000 collectivités. Dans ce type d'enquête, seuls les plus motivés s’expriment et comme le chat de Schrödinger, le résultat est souvent influencé par les conditions de l'observation.

10% de réponses dématérialisées
Avec moins de 10% (pour 54% des répondants) la part de réponses dématérialisées reste faible. On notera toutefois que pour 19 % des répondants, le nombre de réponses se situe entre 10% et 50% et pour 12% des répondants à plus de 50%. Ces résultats sont révélateurs d’une forte disparité en fonction du secteur d’activité. Le secteur hospitalier présentent une proportion plus forte de réponses dématérialisées alors que le secteur du bâtiment est plus à la peine sur le sujet.

La forte proportion de MAPA réduit encore l’impact de la dématérialisation
Le fait que pour près de 50% des acheteurs publics, les MAPA représentent encore globalement plus de 70% des consultations nous semble être une donnée fondamentalement vérifiée dans la plupart des collectivités. La réponse dématérialisée toujours réglementairement cantonnée aux seules procédures formalisées ne pourra produire d’effets d’échelle tant qu'une forte proportion des procédures échappera encore à ce dispositif. Inciter les acheteurs à recourir au plates-formes de dématérialisation pour leurs MAPA serait un signal fort aux entreprises. Ceci entraine cela ; les acheteurs qui dématérialisent rarement sont proportionnellement plus nombreux (que ceux qui dématérialisent régulièrement - 62% contre 48%) à présenter une proportion de MAPA supérieure à 70% dans leurs marchés. La part de MAPA dépent de la taille de la collectivité et donc de sa propension à recourir à la dématérialisation.
Le profil d'acheteur
Le profil d’acheteur est utilisé pour 93 % à la mise en ligne du dossier de consultation, pour 90% à la publication des avis AAPC , pour 53% aux échanges de courriels sécurisés et pour 45% à la réception des offres. Si l’on savait déjà que le profil d’acheteur est prioritairement utilisé pour la publication et le téléchargement du dossier de consultation, on découvre que l’acheteur l’utilise aussi son profil d’acheteur pour les échanges de courriels sécurisés avec les opérateurs économiques. C’est une donnée très encourageante pour la suite qui nous indique que les acheteurs privilégient la plate-forme comme support d'échanges sécurisés. Ce canal ( même non crypté) offre une traçabilité technique et juridique bien supérieure sur les outils de messagerie qui ne garantissent rien et sont à proscrire dans tous les cas. Encourageant pour l’avenir, dans la mesure où ce canal sécurisé permettra le développement des procédureset des échanges dématérialisés.

Les entreprises ne sont pas demandeuses
Le frein principal à la dématérialisation pour 55% des acheteurs vient des entreprises qui ne montrent pas un grand engouement pour la réponse électronique. Les causes sont connues, le manque d’information et de formation, constat mainte fois corroboré par les enquêtes précédentes. Plus inquiétant, le deuxième frein pour 40% des acheteurs vient d’un manque de garantie de fiabilité ou de défaut de fiabilité pour 33%. Du côté des atouts, la dématérialisation améliore l’accessibilité des consultations pour 85% des répondants, permet la réalisation d’économies pour 63% des répondants, permet la rationalisation des tâches pour 45% et finalement offre une meilleure garantie de la procédure pour 40%.

Il faut achever la chaîne de dématérialisation
Pour 67% des répondants achever la chaîne de dématérialisation devient une priorité devant l’harmonisation des plateformes pour 65% , même si la simplification des règles pour 49% reste une préoccupation récurrente. Si l’on met en perspective les conclusions des différentes enquêtes, les attentes sont identiques du côté des entreprises. La re-matérialisation est un frein majeur aussi bien dans les collectivités qui doivent bien souvent réimprimer les offres pour les transmettre au contrôle de légalité, que pour les entreprises qui déplorent l’interruption du processus au stade de la notification. La conséquence logique est que la signature électronique ne peut se développer dans les collectivités.

- page 2 de 3 -