Le NOUVEL ACHAT

Aller au contenu | Aller au menu | Aller à la recherche

Tag - signature électronique

Fil des billets

samedi, juillet 14 2012

L'arrêté signature électronique, mode d'emploi

Par Thierry AMADIEU le samedi, juillet 14 2012, 10:44 - MARCHES PUBLICS

L’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics vient de paraître au J.O. du 3 juillet 2012.

Par Thierry BEAUGE et Thierry AMADIEU

Approchés par la DAJ "direction des affaires juridiques", lors de son élaboration, nous avions insisté pour que l’utilisation de la signature électronique soit aussi aisée que la signature papier, c’est à dire qu’il y ait libre choix du certificat et du support de signature. C’est désormais chose faite avec ce nouvel arrêté, qui au demeurant, se met en conformité avec le droit européen sur la validité de certificats étrangers. Nous avions ensuite attiré l’attention de la DAJ sur l’abrogation indispensable de l’arrêté du 28 août 2006 en contradiction avec le droit communautaire puisqu’il ne connaissait que les certificats de la PRIS.

Concernant les modalités d’application, l’arrêté est applicable au 1er octobre 2012. Entre cette date et jusqu’au 18 mai 2013 date d’entrée en vigueur du RGS, les certificats PRIS V1 pourront encore être utilisés mais ensuite ils disparaitront.

Commentaires de l’arrêté :

1. Quels certificats de signature ?
 L’article 2 vient ouvrir le champ des certificats recevables. Désormais, l’usage des certificats de signature dans les marchés publics n’est plus limité à la liste des certificats agréés de la liste PRIS V1 . L’entrée en vigueur du RGS le 19 mai 2013 suppose la fin de cette disposition.

Tout certificat de signature conforme au RGS, référentiel général de sécurité ou présentant des conditions de sécurité équivalentes pour les certificats étrangers est accepté. Voir notre notre article sur la vérification de la qualité des certificats étrangers avec PEPPOL (*)

En clair, trois catégories de certificats sont acceptées :

  1. ceux appartenant à la liste de confiance française ;
  2. ceux appartenant à une liste de confiance d’un autre État membre (pour les certificats qualifiés équivalents au niveau 2 ou 3 du RGS) ;
  3. ceux n’appartenant pas à une liste de confiance, délivrés par une autorité de certification qui répondent à des normes équivalentes à celles du référentiel général de sécurité . L’opérateur économique est libre d’utiliser le certificat de son choix, pourvu que celui-ci remplisse les obligations minimales du référentiel de sécurité (RGS).Les profils d’acheteurs (les plates-formes de dématérialisation) ont jusqu’au 19 mai 2013 pour se mettre en conformité avec les spécifications techniques qui en découlent pour utiliser les produits de signature électronique conformes au RGS.

2. Qu’est-ce que le référentiel général de sécurité (RGS) ?
 Le RGS est un ensemble de normes fixées par la DGME que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique ; identification, signature, confidentialité et horodatage. C’est lui qui par exemple fixe le niveau 3 de sécurité exigé pour les signatures de marchés publics.

__ 3. Quels formats de signature ?
__ Le format de signature doit être conforme au RGI . L’article 3 de l’arrêté prévoit en outre, que soient acceptés les formats de signature avancés : XAdES, CAdES et PAdES, conformément à la décision de la Commission européenne de février 2011. Ces trois formats doivent être privilégiés mais ne sont pas exclusifs d’autres formats qui pourraient être acceptés.

4. Quel outil de signature ?
 L’article 4 dispose que le signataire utilise l’outil de son choix. Tout outil de signature proposant un certificat conforme au RGS et un format de signature de type XAdES, CAdES et PAdES est dont recevable par la plate-forme.

L’acheteur ne peut plus imposer l’emploi exclusif de l’outil de signature de la plate-forme. Cela était une source de contentieux qui donna lieu à une jurisprudence récente (**)

En revanche, l’opérateur économique utilisant un autre outil que celui de la plate-forme doit transmettre gratuitement les éléments permettant de procéder à la vérification de la validité de la signature et de l’intégrité du document (qu’il n’a pas été modifié depuis sa signature). Ce n’est pas l’acheteur proprement dit, mais son profil d’acheteur c’est à dire sa plate-forme, qui procèdera à la vérification. Que veut dire « vérifier la validité de la signature » ? Cela veut dire pouvoir vérifier au moins :

  1. L’identité du signataire
  2. L’appartenance du certificat de signature à l’une des trois catégories de certificats mentionnés ci-dessus;
  3. Une politique de certification conforme au moins aux niveaux étoilés du RGS
  4. Le respect du format de signature ;
  5. Le caractère non échu ou non révoqué du certificat ;
  6. L’intégrité du fichier signé.

Dans le cas d’un certificat référencé sur l’une des liste mentionnées plus haut Etat ou TSL Européenne, la sécurité est présumée et les seules vérifications à effectuer sont celles du niveau de sécurité. Pour les certificats non listés, c’est-à-dire pouvant émaner de pays tiers, il faudra prouver la correspondance avec le niveau RGS dans ce cas l’opérateur transmet les éléments de vérification complémentaires. Là encore PEPPOL peut aider dans cette vérification (*).

L’opérateur économique qui signe avec les outils de signature de la plate-forme est dispensé de l’envoi de la procédure de vérification de la signature.

5. Possibilité d’utiliser un parapheur électronique

L’article 6 de l’arrêté autorise la signature électronique au moyen d’un parapheur électronique. Un parapheur électronique est un outil qui permet le regroupement de documents à valider ou à signer, la signature d’un même document par plusieurs signataires sans en altérer l’intégrité, par une utilisation aussi bien locale qu’en ligne. Cet outil met fin à la difficulté rencontrée par le fait que le signataire du marché était rarement celui qui envoyait la candidature et l’offre par électronique.

Conclusion : cet arrêté permet une modernisation et une avancée de la dématérialisation des marchés publics. Il banalise et facilite l’utilisation de la signature électronique dans les marchés publics, en toute sécurité. Il met aussi la France en état de pouvoir faire face aux mesures de relance de la dématérialisation par la Commission européenne dans les prochaines directives marchés publics. Il entre en vigueur le 1er octobre 2012.

Thierry AMADIEU et Thierry BEAUGE, le 14 juillet 2012

  • (1) Les documents de référence de l'administration électronique
  • (*) voir article du blog Nouvelachat sur la vérification des certificats étrangers avec PEPPOL et la correspondance avec le RGS
  • (2) EU Trusted Lists of Certification Service Providers
  • (3)L’arrêté impose en ce cas au signataire de transmettre les éléments nécessaires à la vérification, en plus des éléments nécessaires à la vérification de la validité de la signature elle même. Par exemple l’adresse du site internet de référencement dans le pays tiers, une preuve de la qualification du prestataire ou du produit, l’adresse de l’autorité de certification qui a délivré le certificat de signature, qui mentionne la politique de certification. Voir sur ce point , note de renvoi (*).
  • (4) Direction Générale de la modernisation de l’État du MINEFI.
  • (5) RGI : référentiel général d’interopérabilité.
  • (**) Ordonnance de référé du 10 octobre 2010, Tribunal administratif de Bordeaux, B.BRAUN Médical / CHU de Bordeaux

mercredi, juin 20 2012

Vérification systématique de la qualité d’un certificat électronique avec PEPPOL

Par Thierry AMADIEU le mercredi, juin 20 2012, 14:28 - EUROPE - PEPPOL - Open PEPPOL

Les certificats d’autres autorités de certification que celles listées par l’arrêté du 28 août 2006 (PRIS V1) ou situées dans d’autres Etats membres de l’UE, soulèvent la question de la reconnaissance de la qualité au regard des conditions de sécurité définies par le RGS « Référentiel Général de Sécurité ». Le système de vérification mis en place par PEPPOL en interrogeant les différents services de validation Européens disponibles est capable d’identifier ce certificat, de tester sa validité et d’indiquer un niveau de qualité correspondant à une politique de certification. Comment établir la correspondance entre le niveau défini par PEPPOL et le niveau étoilé du RGS (1) de façon à permettre au destinataire de statuer sur sa qualité et le cas échéant de rejeter cette signature si celle-ci ne présente pas le niveau requis ?
Alain ESTERLE chercheur associé à la FRS et responsable pour PEPPOL de la partie signature a travaillé sur la correspondance entre les paramètres de contrôle de PEPPOL et le référentiel RGS.




L’arrêté signature électronique en préparation vise à établir les critères de validité des certificats au regard du dispositif communautaire en faisant référence à la TSL Européenne et au RGS « Référentiel Général de Sécurité ».  Aujourd’hui, il n'existe pas de correspondance immédiate entre les certificats référencés par la TSL et la conformité au RGS. En effet, l’arrêté du 28 août 2006, précise que pour être valides, les certificats doivent être « d’une part conformes au RGS et d’autre part référencés sur la liste mise à disposition par voie électronique par le ministère chargé de la réforme de l’Etat » (PRISv1) mais rien ne stipule précisément le sort réservé aux certificats étrangers. Pourtant, rien n’interdit aujourd’hui à un opérateur économique étranger de répondre à un appel d’offres National un utilisant un certificat émis dans  son propre pays.




Fonctionnement du service de validation PEPPOL

Le dispositif de validation mis en place par PEPPOL est fondé sur un réseau collaboratif de services de validation (VS), chaque VS est capable de collecter les informations concernant les certificats et les politiques de certification des autorités de certifications locales  et de fournir ces informations à n’importe quel service de requête distant.
Le destinataire  peut ainsi  vérifier que le niveau de cette signature est conforme à la réglementation quelque soit l’usage  de cette signature, marchés publics ou autres.
Les paramètres définis par PEPPOL  se réfèrent aux normes de l’ETSI (*) , TS 101 456 et TS 102 042 alors que la réglementation Française se fonde sur le RGS « référentiel Général de Sécurité » de l’ANSSI « Agence Nationale de Sécurité des Systèmes d’Informations »  qui définit 3 niveaux  de qualité une étoile (*) deux étoiles (**) et trois étoiles (**).Comment établir cette correspondance de façon explicite à l’utilisateur final  à partir des seuls paramètres délivrés par PEPPOL ?

PEPPOL eSign
PEPPOL  détermine la qualité du certificat à partir de quatre paramètres, la politique de certification noté de 1 à 6 , l’indépendance de l’assurance de  1 à 7, l’algorithme de hachage (hash function)  et la longueur de la clé publique.
En France les autorités de certification sont  qualifiées par le LSTI (Laboratoire de Sécurité des Technologies de l’Information) et le  COFRAC sur accréditation de l’ANSSI. Depuis avril 2012, le LSTI est d’ailleurs seul habilité  à délivrer ou renouveler l’accréditation CSP. De façon pratique, cette accréditation de la politique de certification  correspond à la délivrance d’une conformité par audit externe, c’est à dire au niveau 7 de PEPPOL.




Le RGS et les niveaux de qualité définis par  PEPPOL  (2)




Bien que l’on considère que le niveau trois étoiles est équivalent à la signature qualifiée définie par le cadre Européen, il n’y a pas de concordance systématique entre le RGS et les niveaux définis par PEPPOL.
Pour la partie cryptographique, le niveau recommandé par le RGS deux étoiles (**) correspond à une fonction de hachage SHA 256 sur la base d’une longueur de clé de 2048 bits. Il est à noter qu'au plan International,  1024 bits n’est plus considéré comme présentant  un niveau de sécurité suffisant pour les échanges Internationaux depuis le 1er janvier 2011,  la signature devra donc  impérativement présenter une clé publique de  2048 bits minimum.
Le niveau RGS trois étoiles (***) est plus exigeant que les spécifications  TS 101 456  au regard de la vérification de l’identité numérique du porteur et la sécurisation du dispositif de signature par des moyens physiques. Après analyse des différents paramètres, le niveau  RGS (***) correspond donc  au niveau QCP+ « Qualified Certificate Policy » de PEPPOL.
Le niveau RGS deux étoiles (**) est lui moins exigeant que le niveau trois étoiles (***) au regard des conditions évoquées plus haut et conforme aux spécifications TS 102 042. Il s’ensuit que le  RGS (**) correspond au niveau NCP+ « Normalized Certificate Policy ». Enfin le  RGS (*) est  conforme au niveau LCP « Lightweight Certificate Policy ».





En pratique :




Les exemples de mise en œuvre de la vérification de signature sur le portail SUNNYSTAMP de LexPersona permettent de lire les paramètres décrits plus haut. L’utilisateur est donc en mesure de s’assurer de façon certaine  de l’identité  du signataire, de la validité et de la qualité du certificat émis  au regard de la politique de certification. 

En présence d'un certificat étranger :




eSign2 PEPPOL




Ou d'un certificat émis par une autorité Française :





eSign1 PEPPOL





Au-delà des vérifications habituelles portant sur la validité du certificat, le service fournit des informations précises qui vont souvent au-delà des moyens de vérifications classiquement rencontrés sur les plates-formes.Il est donc possible à partir des outils PEPPOL de s’assurer non seulement de l’origine mais de l’authenticité d’un certificat électronique auprès de n’importe quelle autorité référencée par les services de validation PEPPOL. Le  service peut-être généralisé à un ensemble  d’applications,  pour les échanges électroniques, les téléprocédures  et bien d’autres services en ligne encore. De ce point de vue, PEPPOL  sans  se substituer à la réglementation Nationale vient compléter avantageusement l’information sur la qualité du certificat. Le service est par ailleurs rendu de façon systématique pour l’ensemble des certificats du marché.
La vérification OCSP « Online Certificate Status Protocole » qui permet de délivrer un jeton de vérification par connexion directe au serveur de l’autorité de certification est toujours possible mais cette pratique est encore insuffisamment répandue.


Thierry AMADIEU 

Responsable des pilotes PEPPOL pour l'Adetef et OpenPEPPOL France






(1) ANSSI / RGS





(2) Niveau de qualité des politiques de certifications PEPPOL 




LCP: Lightweight Certificate Policy ( TS 101 456)




NCP: Normalized Certificate Policy , equivalent à QCP sans l’obligation légale de la Directive 1999/93 article 6 ( responsabilité dommage )




NCP+: Normalized Certificate Policy +, équivalent à QCP+ sans l’obligation légale de la Directive 1999/93 article 6 (responsabilité dommage)




QCP: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public (conformité avec annexes 1 & 2 de la  Directive 1999/93)




QCP+: Qualified Certificate Policy, i.e. politique de certification conforme à la délivrance de certificats qualifies pour le secteur public et nécessitant l’utilisation de dispositifs  de sécurité  (SSCD)

    
    
                        

    
          


    
mercredi, août 10 2011
    
    
La Direction des Affaires Juridiques (DAJ) annonce la fin de la pause réglementaire

    
    
Par Thierry AMADIEU    le mercredi, août 10 2011, 11:23        - DEMATERIALISATION
        

    
            
    
    
          
A  l’occasion du colloque qui s’est tenu le 28 juin dernier dans les locaux de l’Université de pharmacie à Paris V Descartes, Monsieur Serge Doumain de la DAJ dresse un bilan contrasté de la dématérialisation et expose son plan d’action pour les prochains mois. Il justifie les raisons  d’un arrêt de la pause réglementaire par la nécessité de simplifier les règles.

Depuis janvier 2005, la DAJ  aura  fait preuve d’une bonne dose de conviction et de pédagogie,  pour convaincre  des acheteurs publics récalcitrants et les entreprises  frileuses.  (cf. notre article, les réponses de madame Bergeal « Dématérialisation, mode d’emploi (chat  du Bercy Colloc.  du 28 septembre). Serge Doumain a beau tambouriner que le démat n’a jamais autant progressé,  (*)  sa conviction a de quoi être ébranlée  tant les résultats sont mitigés.  Pire encore,  pour 61% des utilisateurs expérimentés, la situation ne s’est pas améliorée selon une récente enquête commanditée par la DAJ. (cf. notre article « La dématérialisation vue par les acheteurs publics,  une enquête de la DAJ (décembre 2010) ».




Les freins  identifiés en 2008 persistent en 2011. Uniformisation des plateformes, simplification des formulaires, formation et information insuffisante des opérateurs, chaîne de dématérialisation incomplète vers le payeur,  une simplification nécessaire de la réglementation etc.A cela s’ajoute l’émergence de nouvelles attentes révélées lors des  récentes assises de la simplification : nécessité d’un coffre-fort électronique pour les entreprises, un portail unique d’annonces de marchés, la mutualisation des dossiers de candidature, la réponse aux variantes indépendamment de l’offre de base etc.
Finalement, la bonne nouvelle, c’est que les attentes des acheteurs et des entreprises sont très convergentes. La DAJ invite les groupes de travail à se former entre acheteurs et  fournisseurs pour combiner leurs efforts vers des solutions communes.Pourquoi aura-t-il fallu attendre tout ce temps pour découvrir les vertus d’une approche fondée sur le consensus entre Administration et opérateurs économiques. 




De son côté la DAJ décide de suspendre la pause réglementaire. Peut-être encouragée en cela  par les conclusions du livre vert de la Commission Européenne,  qui pointe le souhait de mesures obligatoires, (cf. notre article « L'Europe doit imposer à défaut de convaincre ») . Mais en France, nous n'en sommes pas encore là.
La DAJ rappelle que le 1er janvier 2012, pour les achats supérieurs à  90 000 Euros HT, tout acheteur sera tenu d’accepter les offres transmises par voie électronique  par l’opérateur économique. Première conséquence, suspension de  l’arrêté d’expérimentation initialement prévu jusqu’en 2010. Autre mesure, préparation d’un décret venant  modifier le Code des Marchés publics. L’article 56 sera réécrit à droit constant dans une optique de simplification et de meilleure lisibilité, abrogation de l’arrêté du 28 août 2006 pris en application des articles 48 et 56 du CMP. Le SAD « système d’acquisition dynamique » jusqu’alors limité aux fournitures courantes sera étendu  (article 78) sera étendu aux achats de services courants. Un projet d’arrêté relatif à la signature  électronique est  en préparation. Pour encourager l’usage de la signature ; celui-ci visera à simplifier l’acquisition d’un certificat électronique sans dégradation des conditions de sécurité évidemment. Il  permettra la signature via un logiciel ou un parapheur électronique choisi par le signataire et non forcément imposé par l’acheteur.




Peut-être est-il utile de préciser, que  la volonté de la DAJ n’est pas d’accompagner cette fin de la  pose réglementaire d’une nouvelle inflation de textes mais bien au contraire  d’une décrue  générale.
Thierry AMADIEU

(*) Entre le  1er janvier et le 31 décembre  2010, 24 834 procédures ont été dématérialisées dont 18 119 MAPA donnant lieu à  10 105 publications au BOAMP, 340 354 retraits de DCE et  9 909 dépôt électroniques par les entreprises (source DAJ)

    
    
                        

    
          


    
mercredi, janvier 19 2011
    
    
La signature électronique  en question, point sur la jurisprudence récente

    
    
Par Thierry AMADIEU    le mercredi, janvier 19 2011, 09:03        - DEMATERIALISATION
        

    
            
    
    
          
Il incombe  au pouvoir adjudicateur de vérifier les conditions de validité de la signature électronique. Une signature électronique incomplète ne signifie pas absence de signature.


    

  • Ordonnance de référé du 15 novembre 2010, Tribunal administratif de Limoges, Jugement du 12 novembre 2010 Infostance / Région Limousin et autre
    • 



Une offre dématérialisée mal signée ne peut être rejetée par le pouvoir adjudicateur comme non signée.




Par une décision récente,  le Tribunal Administratif de Limoges confirme qu'il incombe au pouvoir adjudicateur de s’assurer que la signature électronique est valide.
En substance, l’entreprise avait transmis des fichiers signés, mais pour lesquels la signature apparaissait avec le message d’anomalie "signature altérée".
Le tribunal administratif  a considéré que les conditions de validité de la signature étant respectées  (1) cette seule mention était insuffisante pour écarter l’offre du candidat.




"Les documents de l’offre de cette société ne pouvaient pas être regardés comme n’étant pas signés, dès lors que l’existence d’un certificat de signature électronique adéquat n’était pas en cause et que la difficulté concernait seulement le contrôle de la validité de l’utilisation de ce certificat ; qu’ainsi, le pouvoir adjudicateur ne pouvait pas refuser d’admettre la candidature de la société requérante au motif que les documents de son offre n’étaient pas signés."

Cette décision fait peser une obligation de vérification de la validité de la signature sur la collectivité publique, dès lors que les candidats satisfont, de leur côté, aux impératifs techniques relatifs aux certificats et à la signature électronique.  On peut voir dans cette décision,  une volonté  de clarifier les conditions d’utilisation et de vérification de la signature électronique.





La cour de cassation avait déjà confirmé les conditions de vérification de la signature

Le  tribunal administratif semble ici  se ranger à l’avis de la cour de cassation qui,  dans un arrêt récent (2), nous rappelle les conditions de vérification de la preuve en électronique.
Plus précisément, dès lors qu'une partie dénie à l’autre, le fait d’être l’auteur d'un écrit sous forme électronique, le juge est tenu, en application de l'article 287 du code de procédure civile, de vérifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil à la validité de l'écrit ou de la signature électroniques étaient satisfaites.




Signature altérée ou incertaine, de quoi s’agit-il ?




La signature altérée ne signifie pas que la signature ou le certificat est invalide mais  que les contrôles n’ont pu être effectués  au moment de la réalisation de la signature en raison d’une impossibilité dans laquelle s’est trouvée la plate-forme de vérifier l’origine du certificat.
La signature "altérée" révèle que le certificat racine de l’autorité de certification est absent  du magasin des certificats situé dans le  navigateur du poste de l’entreprise et de ce fait, le lien ne peut être établi.
La signature "incertaine" révèle que le contrôle de révocation (CRL) (3)  n’a pas pu s’effectuer en raison  d’une indisponibilité du service au moment de la signature ou une anomalie dans le protocole OCSP (4).




En demandant à l’entreprise de télécharger les certificats racines de l’autorité,  l’assistance technique de la plate-forme  a effectué un bon diagnostic. L’action corrective ne prend généralement que quelques secondes à un utilisateur averti.
A défaut d’information sur l’origine du certificat,  aucun élément ne permettrait de s’assurer que le certificat n’a pas été détourné ou piraté. Dans le contexte de l’affaire  qui nous occupe, ce risque reste faible.




Finalement,   même entachée de cette altération, la signature  existait bel et bien.  Le pouvoir adjudicateur  avait tous les moyens à sa disposition  pour vérifier son existence et celle du certificat associé, notamment la  date de signature comprise entre les  dates de validité et le nom du signataire.
Projetons nous quelques années en arrière  et imaginons une époque où il était d’usage courant de mouiller son doigt pour vérifier si la signature manuscrite n’était pas une simple photocopie et  nous conviendrons que la signature électronique apporte une sécurité juridique indéniable.
L’absence de signature, l’invalidité d’une signature ou d’un certificat constituent des causes de rejet objectif d’une candidature ou d’une offre. 




Une anomalie dans le contrôle du certificat,  ne doit pas constituer une condition suffisante de rejet de la candidature,  sous la réserve que ces contrôles puissent être effectués a posteriori.

Quels  enseignements tirer de cette affaire ?




Interrogeons nous sur la traduction juridique très  imparfaite (dans le droit et le code des marchés publics)  de fonctions éminemment techniques de la signature électronique jusqu’alors très superficiellement abordées. 




Il nous faudrait examiner par exemple, la signification juridique  d’une signature « altérée »  ou « incertaine » et en quoi cette altération  ou incertitude suffirait à motiver une décision par ailleurs lourde de conséquences.




Fort heureusement, le tribunal administratif a jugé à bon droit que cette simple mention  ne pouvait motiver un rejet sans plus ample analyse. Imaginons seulement un instant,  l’effet produit sur la dématérialisation qui peine déjà à s’imposer,  d’une décision qui eut été plus radicale.






Une signature électronique remplissant les conditions  de l’article 1316 du code civil peut-elle être rejetée au regard du règlement de consultation ?


    

  • Ordonnance de référé du 10 octobre 2010, Tribunal administratif de Bordeaux, B.BRAUN Médical / CHU de Bordeaux
    • 




L’entreprise présente sa candidature par voie dématérialisée dans les délais. Son offre est rejetée au motif que sa candidature est non signée. L’entreprise disposait d’un certificat de signature valide mais en faisant usage d’un logiciel de signature autre que celui prévu par le profil d’acheteur,  la société a pris le risque de voir son offre rejetée en produisant une signature dans un format différent de celui du profil d’acheteur.




 "…que la société, alors que l’incompatibilité du format de cette fonctionnalité lui avait été signalée lors du dépôt du pli de candidature, a persisté à signer celle-ci, non pas en ayant recours au logiciel prescrit par le pouvoir adjudicateur, mais en utilisant le logiciel de signature dont elle avait fait l’acquisition auprès d’un prestataire et qu’elle avait intégré dans son propre système de gestion des candidatures et offres dématérialisées." 





"Considérant en deuxième lieu qu’en l’absence de dispositions réglementaires particulières, la détermination du logiciel de signature des candidatures à un marche public tel que celui en litige relève du règlement de la consultation établi par le pouvoir adjudicateur qu’aucune disposition n’interdit au pouvoir adjudicateur d’imposer aux candidats à  un marche public un logiciel unique de signature dématérialisée…" 





 "…que comme l’a fait valoir le CHU de Bordeaux, le recours au logiciel de signature unique est motivé par une exigence technique et administrative de traitement uniforme des signatures des candidats; qu’en effet, l’utilisation par les operateurs de logiciels extérieurs à la plate forme d’achats publics impose des manipulations supplémentaires de nature a alourdir la tache du service, et comporte un risque accru d’erreurs et de blocages pouvant d’ailleurs être préjudiciables aux candidats compte tenu du délai strict de la consultation; que cette exigence, quand bien même le CHU de Bordeaux ne jugerait pas nécessaire de l’imposer dans toutes les consultations, participe ainsi des conditions de présentation uniformes des candidatures que le pouvoir adjudicateur peut raisonnablement imposer à  tous les candidats." 





La signature électronique associe une composante cryptographique à un certificat électronique ; confondus aux yeux de l’utilisateur, ces deux composants remplissent des fonctions différentes. La composante cryptographie permet de garantir l’intégrité du document , le certificat constitue la composante identification. Alors que la signature électronique est normalisée, les logiciels de signatures ne sont pas soumis à la production de formats de signatures normés de telle sorte que les signatures diffèrent souvent légèrement. Le manque d’interopérabilité  de la signature électronique,  particulièrement patent dans les marchés publics,  constitue une difficulté majeure qui  explique au moins en partie le manque d’engouement des parties contractantes pour la dématérialisation. Une entreprise qui répond à plusieurs centaines d’appels d’offres par an se voit contrainte de jongler avec différents logiciels  et formats de signature, au gré des désidérata des acheteurs publics. La dématérialisation devient,  au mieux impraticable à grande échelle,  au pire introduit une véritable faille de sécurité juridique.




En donnant raison au pouvoir adjudicateur,  le tribunal administratif confirme qu'en l’absence de dispositions réglementaires particulières, ce dernier est en droit d’imposer  les conditions fixées par son règlement de la consultation. 




Les manipulations supplémentaires découlant du contrôle d’un certificat dans un autre format que celui du profil acheteur, nous semblent suffisamment légères  pour être prises en compte par le pouvoir adjudicateur compte-tenu du nombre encore  très faible d’entreprises équipées de parapheurs électroniques, dès lors que cette vérification peut s’effectuer d’un simple clic.




Imaginons en revanche quelles manipulations acrobatiques s’imposent  aux gestionnaires des entreprises pour faire signer leurs dossiers avec les outils de signature de plus de 25 plates-formes différentes.
Si risque juridique il y a, celui-ci réside plus à notre avis dans  ces procédures contraignantes que dans la signature elle-même.  A l’hétérogénéité des logiciels de signature s’est ajoutée une inaptitude des plates-formes à répondre à la  complexité des organisations des entreprises.
Cette décision  du tribunal Administratif pourrait  finalement freiner le déploiement de parapheurs électroniques, alors que ceux-ci,  en contribuant à l’harmonisation  des procédures de signature dans les grandes entreprises,   favoriseraient l’essor de la dématérialisation des marchés publics.

En guise de conclusion : 

En l’absence d’une signature réellement interopérable dans les marchés publics, nous continuons pour notre part à encourager le développement de parapheurs pour les raisons évoquées plus haut et sommes confiants quant à la sécurité juridique de la signature électronique.
Toutefois, il nous semble que l’utilisation de ces  parapheurs devrait  être conditionnée  à la production d’une signature facilement vérifiable par le pouvoir adjudicateur. Par exemple, le  format PADES (PDF Advanced Digital Electronic Signature) qui offre l’avantage d’être auto vérifiable sans le recours à des outils extérieurs. Finalement, la production d’un document à l’attention du pouvoir adjudicateur,  appelé « politique de signature »  expliquant quelle est la politique de signature et de vérification des certificats de l’entreprise, parait indispensable. 




Idéalement, nous souhaiterions voir se développer un programme d’homologation des parapheurs électroniques qui contribuerait à une certaine harmonisation des plates-formes,  une instance de vérification neutre pour tous les formats de signature électronique, facilement interrogeable à distance par les acheteurs . C'est d'ailleurs un objectif fixé par la commission Européenne, au travers du projet PEPPOL (5) que de pouvoir rendre possible la vérification d'un certificat issu de n'importe quel Etat membre. Et si  finalement, entre rêve et réalité,  il n'y avait plus de frontière...




Thierry AMADIEU et Thierry BEAUGE




Le 6 janvier 2011



    

  • (1) Le guide pratique de la dématérialisation des marchés publics de la DAJ -  juin 2010 « comment vérifier la signature » chapitre 2-3-6 p.25
    • 

  • (2) Cassation civile. 1, 30 septembre 2010 (pourvoi: n°09-68555) vérification des conditions art. 1316 pourvoi 09-68555
    • 

  • (3) CRL (Certificate Registry List )  liste des certificats révoqués détenue par l’autorité de certification
    • 

  • (4) OCSP (Online Certificate Status Protocol) protocole de vérification en ligne de certificat est utilisé pour valider un certificat numérique
    • 

  • (5) PEPPOL, Pan European Public Procurement OnLine
    • 


    
    
                        

    
                  
        page 2 de 2         -