Certificat de signature électronique (CSE) et réponse dématérialisée aux marchés publics

Certificat de signature électronique
Certificat de signature électronique – CSE

Un certificat électronique est une identité numérique. Il est nominatif, donc appartient personnellement à un membre d’une société ou agent d’une administration.

Le certificat électronique est constitué de trois éléments indissociables suivants :

  • les informations concernant l’identité du titulaire (nom, prénom, fonction, service, courriel, …), son organisation (société, association ou administration…), la période de début et de fin de validité du certificat, l’identité de l’autorité de certification qui l’a généré, les fonctionnalités autorisées du certificat, l’adresse concernant l’accès à la politique de certification de l’autorité ainsi que l’adresse de la liste des certificats révoqués ;
  • la clé privée ;
  • la clé publique.

Le certificat, nécessaire pour la signature électronique dans les réponse dématérialisées aux marchés publics, est constitué d’une clé publique et d’une clé privée associée qui doit rester secrète (on parle de certificat à clé asymétrique) qui est confinée dans un support matériel cryptographique : une clé USB cryptographique ou une carte à puce, par exemple.

L’autorité de certification (AC) est un prestataire qui produit des certificats, pour le compte d’utilisateurs.

Certificat de signature électronique au sens du règlement (UE) No 910/2014 (EIDAS)

Un certificat de signature électronique est une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne.

Source : Article 3 du règlement (UE)No 910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

Certificat ou certificat électronique au sens du RGS

Selon le RGS, un certificat ou certificat électronique est un fichier électronique attestant qu’une bi-clé appartient à une personne physique, une personne morale, un élément matériel ou un logiciel identifié, directement ou indirectement (pseudonyme). Il est délivré par un PSCE (Prestataire de services de certification électronique). En signant le certificat, l’autorité de certification (AC) valide le lien entre l’identité et la clé publique. Le certificat est valide pendant une durée limitée précisée dans celui-ci.

En pratique un certificat électronique ou certificat de signature est un document électronique qui a pour but d’authentifier l’identité de la personne signataire (carte d’identité), l’intégrité des documents échangés (protection contre toute altération) et l’assurance de non-répudiation (impossibilité de renier sa signature).

Durée de validité du certificat

La durée de validité du certificat est de un à trois ans (le RGS prévoit trois ans). Son coût annuel dépend des services associés. A titre d’information il faut compter un montant de l’ordre de 270 € HT pour une durée de trois ans.

Comment obtenir le certificat ?

Il faut compter en pratique 5 jours à plus d’un mois pour obtenir un certificat de signature, quelquefois plus.

Certains prestataires délivrent le certificat en environ une semaine.

Comment l’obtenir ? Pour tout renseignement => Contact.

Attention, certains prestataires ne fournissent aucune assistance y compris en cas de souci à l’installation.

L’entreprise est donc invitée à anticiper cette acquisition. De même, il est recommandé de prévoir l’acquisition d’un certificat de signature électronique présentant un niveau de sécurité suffisant pour être utilisé dans la plupart des marchés publics (Exemple : RGS **).

L’arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique précise les catégories de certificats de signature électronique utilisables dans les marchés publics.

Comment choisir le bon certificat de signature électronique et où me le procurer ? (Guide « très pratique » de la dématérialisation pour les entreprises)

Source : Guide "très pratique" de la dématérialisation des marchés publics pour les opérateurs économiques au 1er octobre 2018.

E 72. Combien coûte un certificat ? Selon quelles modalités et quelle durée ?

Les prix d’un certificat de signature électronique varient généralement entre 80 et 300 euros HT, selon la durée du certificat et les modalités de remise du certificat (délivrance). La mise en concurrence des fournisseurs et le nombre de certificats achetés peuvent bien sûr permettre d’obtenir des conditions meilleures.

Les certificats sont en général délivrés pour une durée de un à trois ans. Le certificat peut être utilisé autant de fois que nécessaire pendant cette durée. L’assistance du prestataire est due pour toute la durée de vie du certificat.

E 73. Combien de temps faut-il pour acquérir un certificat ?

Cela est variable, selon le prestataire qui le fournit et les conditions de la remise en face-à-face. Pour le plus rapide, un délai de 48 heures ouvrées, quand le dossier est complet, est possible, avec une remise dans toute la France. Pour certains autres, un délai de 8 à 15 jours est évoqué, notamment sur les sites des opérateurs. La remise ne devrait jamais dépasser trois semaines, car cela est incompatible avec le temps qui s’écoule généralement entre le choix de l’attributaire et la notification du contrat.

Il faut donc anticiper, aussi bien pour les acheteurs que pour les entreprises.

E 74. Puis-je acheter un certificat européen pour signer en France ?

Oui, dans la mesure où le règlement eIDAS de juillet 2014 a rendu les certificats conformes à ce règlement interopérables dans l’ensemble des pays de l’Union européenne. Il vous faut simplement vérifier que le certificat figure bien sur la liste européenne et qu’il correspond au niveau minimum exigé pour les marchés publics (cf. arrêté du 12 avril 2018), soit une signature avancée reposant sur un certificat qualifié.

Il faut bien sûr, le cas échéant, tenir compte des conditions et coûts de délivrance d’un tel certificat, si on souhaite comparer ce certificat à un certificat acquis en France.

E 75. Puis-je acheter un certificat non-européen ?

Cela est envisageable, puisque les entreprises, notamment celles non européennes, doivent également pouvoir signer électroniquement des documents si cela est requis. L’article 2 de l’arrêté du 12 avril 2018 relatif à la signature électronique prévoit alors que le certificat doit répondre aux exigences équivalentes à l’annexe I du règlement eIDAS de juillet 2014.

Les certificats étrangers non européens doivent donc faire l’objet d’une démonstration de leur équivalence au règlement eIDAS par celui qui l‘utilise.

Il faut bien sûr le cas échéant tenir compte des conditions et coût de délivrance d’un tel certificat, si on souhaite comparer ce certificat à un certificat acquis en Europe.

E 76. La signature électronique, est-ce un achat simple ?

Oui et non. Oui, pour l’acquisition du certificat lui-même, notamment à l’unité, compte tenu de son prix. La mise en place de la signature électronique suppose que l’organisation de l’entité soit bien connue. Cela nécessite en particulier de déterminer qui sera autorisé à signer pour votre entité, car les certificats sont nominatifs et il est donc nécessaire d’avoir anticipé et réglé les questions d’organisation.

Plus l’organisation est souple et réactive, associant tous les acteurs de l’entité, plus l’acquisition et le déploiement de la signature se fera rapidement.

E 77. Je dispose déjà d’un certificat RGS, est-il valable ?

L’arrêté du 15 juin 2012 précisait les catégories de certificats de signature électronique utilisables dans les marchés publics : elles devaient être conformes au référentiel général de sécurité (RGS). Il sera abrogé par l’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique à compter du 1er octobre 2018.

Le nouvel arrêté relatif à la signature électronique laisse cependant expressément la possibilité d’utiliser un certificat de signature électronique de type RGS au-delà de cette date, le temps de sa validité.

E 78. Les certificats utilisés pour d’autres usages (facturation électronique, TVA…) sont-ils utilisables ?

Les certificats sont souvent utilisables pour différents usages. Il faut toutefois vérifier les conditions de commercialisation du certificat, en se rapprochant du prestataire qui a pu restreindre l’usage d’un certificat à un nombre limité de domaines. A défaut de restrictions explicites, il est utilisable pour toute opération, dans la limite de son niveau de sécurité, qui doit être compatible avec les exigences applicables à une consultation, ou à un profil d’acheteur.

E 79. Je ne dispose pas de certificats, quel certificat de signature électronique dois-je utiliser ?

Il faut acheter une signature électronique au minimum avancée reposant sur un certificat qualifié, conforme au règlement eIDAS (13). Dans la commande publique (en France) qui concentre des enjeux économiques et juridiques importants, sont autorisées :

(13) Le règlement du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) vise à établir un cadre d’interopérabilité pour les différents systèmes mis en place au sein des États membres afin de promouvoir le développement d’un marché de la confiance numérique. Il a également pour objectif d’instaurer un cadre juridique pour l’utilisation des services de confiance et prévoit des exigences pour les services de confiance relatifs à la signature électronique.

E 80. Qu’est-ce que le règlement eIDAS ?

Le règlement du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS) vise à établir un cadre d’interopérabilité pour les différents systèmes mis en place au sein des États membres afin de promouvoir le développement d’un marché de la confiance numérique. Il a également pour objectif d’instaurer un cadre juridique pour l’utilisation des services de confiance et prévoit des exigences pour les services de confiance relatifs à la signature électronique.

Ce règlement, en vigueur depuis juillet 2016, concerne les relations entre l’administration et les tiers et s’applique donc aux marchés publics.

De manière générale, il existe au sens du règlement européen eIDAS quatre types de signature électronique correspondant à des niveaux de sécurité différents : la signature électronique simple, la signature électronique avancée (niveau 2) avec certificat qualifié (niveau 3) et la signature électronique qualifiée (niveau 4).

E 81. Comment obtenir un certificat qualifié de signature électronique conforme au règlement eIDAS ?

Pour obtenir un certificat il faut prévoir en général deux principales étapes :

  • sélectionner le prestataire de confiance dans une liste préétablie (cf. liste ANSSI par exemple), constituer le dossier pour acquérir le certificat nominatif nécessaire ;
  • organiser la remise du certificat en face-à-face.

E 82. Où puis-je me procurer une signature électronique ?

Des certificats de signature électronique sont commercialisés par des prestataires de services de confiance qualifiés. La liste publiée par l’ANSSI facilite le repérage des prestataires :

https://www.ssi.gouv.fr/administration/visade-securite/visas-de-securite-le-catalogue/

Rapprochez-vous au préalable de votre service informatique qui dispose d’une vision transversale sur votre système d’information et est peut-être en train de déployer la signature voire un parapheur électronique.

Certaines fédérations professionnelles peuvent vous renseigner.

E 83. Puis-je avoir un seul certificat pour plusieurs personnes ?

Non. Le certificat de signature électronique est lié à l’identité d’une personne physique. Le certificat d’un salarié ou dirigeant qui quitte ses fonctions doit être révoqué auprès du prestataire. Il faut acheter de nouveaux certificats pour les remplaçants. Si les changements sont fréquents, prenez plutôt un certificat d’un an.

E 84. Est-il nécessaire de prévoir la remise du certificat en face-à-face ?

La plupart du temps, le dispositif de sécurité proposé par le prestataire implique une remise en main propre à la personne bénéficiaire du certificat de signature électronique. Le règlement eIDAS n’exclut pas d’autres modes de remises sécurisés susceptibles de se développer à l’avenir, mais ils ne sont pas les plus répandus.

E 85. En quoi consiste le face-à-face ?

Il s’agit de vérifier l’identité de la personne, c’est-à-dire qu’il y a une correspondance entre la pièce d’identité originale, la copie certifiée conforme et la personne. Les modalités de remise peuvent différer selon les prestataires. Il faut se renseigner préalablement auprès d’eux, car c’est une condition importante du bon déroulement de la remise du certificat.

E 86. Qui doit se déplacer pour ce face-à-face ?

Le plus souvent, le déplacement du futur signataire est nécessaire chez le prestataire ou au sein de son réseau ou auprès d’une personne assermentée/mandatée.

Certains prestataires forment des personnes de l’entité qui seront reconnues « mandataires » et assureront le suivi et la remise en face-à-face au sein de votre entité.

Ce dispositif est adapté pour limiter les déplacements et les démarches administratives, si vos besoins en certificats sont importants ou susceptibles de se renouveler régulièrement. Anticipez ce temps de formation.

E 87. Que faut-il prévoir en parallèle du face-à-face ?

Il est souvent demandé d’envoyer préalablement :

  • copie de la pièce d’identité du bénéficiaire du certificat avec mention spécifique et signée à la main, attestant de la conformité à l’original ;
  • copie de la pièce d’identité du représentant légal de l’entité avec mention spécifique et signée à la main, attestant de la conformité à l’original ;
  • formulaire à remplir fourni par le prestataire.

Conseils en bref :

Anticipez !

  • Assurez- vous que votre organisation de délégations de signature est claire afin d’identifier les besoins d’acquisition
  • Vérifiez si l’entreprise dispose déjà de certificats ou d’un contrat avec un prestataire de confiance
  • Si ce n’est pas le cas, sélectionnez un prestataire et assurer une remise en face-à-face en adéquation avec votre organisation
  • Installez le certificat sur le poste et faites des tests sur votre outil de signature.

Vous êtes prêts !