Signature électronique  : principe

Plan du guide de la dématérialisation des marchés publics

2. Sécurité, confidentialité et signature électronique : mode d’emploi

2.3. A quoi sert la signature électronique ?

2.3.2.Quel est le principe qui régit la signature électronique ?

L’article 1316-4 du Code civil définit les modalités permettant de garantir la fiabilité d’une signature électronique.

Le dispositif résulte de la combinaison d’un dispositif technique et d’un dispositif organisationnel.

Il repose sur l'utilisation de la cryptographie asymétrique (clé privée et clé publique) et d’une infrastructure de gestion de clés (IGC). Une IGC est un ensemble de composantes, de fonctions et de procédures dédiées à la gestion de clés cryptographiques et de leurs certificats utilisés par des services de confiance. L’IGC est sous la responsabilité d’un prestataire de service de certification (PSC) électronique. Une IGC peut comprendre, entre autres, une autorité de certification et des autorités d’enregistrement (voir glossaire pour la définition de ces termes).

Pour signer électroniquement (21), il est nécessaire de disposer à la fois :

(21) L’agence nationale de la sécurité des systèmes d’information (ANSSI) a mis en ligne des modules interactifs d’auto-formation, notamment le certificat numérique, la signature électronique, pour approfondir des connaissances relatives à la sécurité des systèmes d’information. Voir : http://www.securite-informatique.gouv.fr/gp_mot24.html
 Le certificat électronique

Un certificat électronique est une identité numérique. Il est nominatif, donc appartient personnellement à un membre d’une société ou agent d’une administration. Le certificat électronique est constitué de trois éléments indissociables suivants :

1. les informations concernant l’identité du titulaire (nom, prénom, fonction, service, email…), son organisation (société, association ou administration…), la période de début et de fin de validité du certificat, l’identité de l’autorité de certification qui l’a généré, les fonctionnalités autorisées du certificat, l’adresse concernant l’accès à la politique de certification de l’autorité ainsi que l’adresse de la liste des certificats révoqués ;

2. la clé privée ;

3. la clé publique.

Le certificat, nécessaire pour la réponse électronique, est constitué d’une clé publique et d’une clé privée associée qui doit rester secrète (on parle de certificat à clé asymétrique) qui est confinée dans un support matériel cryptographique : une clé USB cryptographique ou une carte à puce, par exemple.

L’autorité de certification est un prestataire qui produit des certificats, pour le compte d'utilisateurs. Lorsque ce prestataire est une entreprise privée, il commercialise les certificats produits. Lorsque le prestataire est une autorité administrative, il les délivre à ses agents.

L’autorité de certification signe le certificat (avec sa propre clé privée), garantissant ainsi l'intégrité du certificat et la véracité des informations contenues dans les certificats qu’elle émet.

L’autorité de certification assure le lien entre l’utilisateur (le futur signataire) et le certificat qu’elle va émettre pour lui, en s’assurant préalablement, par l’examen de pièces d’identité et le cas échéant, selon le niveau de sécurité, par une rencontre en face-à-face, de la véracité des informations fournies par le demandeur du certificat.

La durée de validité du certificat est de deux à trois ans (le RGS prévoit trois ans). Son coût annuel dépend des services associés.

Il faut compter en pratique 15 jours à un mois pour obtenir un certificat de signature, quelquefois plus. L’entreprise est donc invitée à anticiper cette acquisition. De même, il est recommandé de prévoir l’acquisition d’un certificat de signature électronique présentant un niveau de sécurité suffisant pour être utilisé dans la plupart des marchés publics.

L’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics précise les catégories de certificats de signature électronique utilisables dans les marchés publics.

 L’application logicielle de signature pour signer

L’application logicielle ou outil de signature permet d’apposer la signature sur un document électronique. Elle est aussi indispensable que le certificat.

Le signataire utilise, pour signer, l’outil de son choix.

Les plateformes de marchés publics proposent gratuitement aux opérateurs économiques, qui n’en disposent pas, un logiciel de signature. En général, cette application permet de signer des documents ou enveloppes en ligne, lors du dépôt des plis mais, également, avant le dépôt. L’arrêté du 15 juin 2012 ne permet pas à l’acheteur d’imposer l’usage de cet outil de signature. Il prévoit néanmoins que lorsque l’opérateur économique signe avec un autre outil de signature, il doit transmettre le « mode d’emploi » permettant à l’acheteur de procéder aux vérifications nécessaires.

MAJ 28/12/12 - Source legifrance