Ce profond changement impose l’utilisation de procédés de signature électronique adaptés aux besoins de la commande publique et conforme au règlement n° 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques. Un arrêté du 12 avril 2018 définit les nouvelles modalités et l’utilisation de la signature électronique dans le cadre des procédures de la commande publique.
Vers une généralisation de l’utilisation d’un certificat électronique « eIDAS »
Le déploiement de la signature électronique constitue encore un frein au développement de la dématérialisation. La généralisation de la dématérialisation implique de développer et d’adapter les certificats d’identification/authentification et de signature électronique des marchés publics. Il faut également proportionner le niveau de sécurité des certificats électroniques aux besoins de la commande publique. Le nouvel arrêté définit les modalités d’utilisation de la signature électronique et du certificat qualifié nécessaire pour que le signataire d’un marché public puisse être considéré comme ayant valablement donné son consentement. La signature doit être une signature « avancée » reposant sur un certificat qualifié au sens du règlement européen de 2014.
L’arrêté du 12 avril 2018 opère en conséquence une transition entre le certificat de signature électronique « RGS », qui constituait précédemment le standard en la matière, et le certificat « eIDAS », imposé par la réglementation européenne. Selon le plan de transformation numérique présenté par Bercy, « ce certificat, beaucoup moins coûteux pour l’administration et pour les opérateurs économiques, permettra un déploiement rapide et économique de la signature électronique ».
Des vérifications qui imposent toujours le contrôle de l’identité du signataire
Si le signataire utilise le dispositif de création de signature électronique de son choix, les acheteurs et opérateurs économiques doivent utiliser une signature électronique reposant sur un certificat délivré, soit par un prestataire de service de confiance qualifié, soit par une autorité de certification, française ou étrangère, qui répond aux exigences du règlement européen. Il appartient à l’acheteur d’effectuer un contrôle de la validité de la signature qui porte au minimum sur l’identité du signataire, l’appartenance du certificat du signataire à l’une des catégories autorisées, le respect du format de signature (XAdES, CAdES ou PAdES), le caractère non échu et non révoqué du certificat à la date de la signature, et enfin, l’intégrité du document signé. Ces vérifications peuvent être effectuées de manière automatisée, à l’exception de la vérification de l’identité du signataire.
Enfin, si l’arrêté du 15 juin 2012 relatif à la signature électronique est abrogé, les certificats qualifiés de signature électronique délivrés en application de ce texte restent valables jusqu’à leur expiration.
Dominique Niay
Texte de référence : Arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique et abrogeant l’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics
