Plan du guide de la dématérialisation des marchés publics
2. Sécurité, confidentialité et signature électronique : mode d’emploi
2.3.4. Quelle est la valeur probante de la signature électronique ?
La fiabilité du procédé de signature électronique est présumée, lorsque sont respectées les conditions prévues par le décret n° 2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif à la signature électronique.
L’article 1er du décret définit deux types de signature :
- la signature électronique « simple » qui garantit le lien entre l’identification du signataire et l’acte auquel elle s’attache.
La cryptographie permet de détecter la perte d'intégrité d'informations, d'authentifier des interlocuteurs et de protéger la confidentialité des informations.
- la signature électronique « sécurisée ». La signature électronique est
sécurisée, si elle satisfait aux exigences suivantes :
- être propre au signataire ;
- être créée par des moyens tels que le signataire puisse la garder sous son contrôle exclusif ;
- garantir, avec l’acte auquel elle s’attache, un lien tel que toute modification ultérieure de l’acte soit détectable.
Cette signature est présumée fiable lorsqu’elle utilise un certificat électronique « qualifié », délivré selon une procédure de qualification définie par un organisme accrédité par l’Agence Nationale de la Sécurité des Systèmes d’Informations (ANSSI) ou une instance européenne équivalente (article 2).
Cette présomption de fiabilité signifie que la charge de la preuve d’une non-conformité incombe à l’organisme qui conteste la signature, et donc aux acheteurs publics dans le cadre des marchés publics.
Lorsque la signature est « simple » ou d’une sécurisation ne répondant pas aux conditions exposées ci- dessus, la charge de la preuve de la fiabilité du procédé revient au signataire.
Un certificat électronique délivré par une autorité de certification établie dans un État n’appartenant pas à l’Union européenne a la même valeur juridique que celui délivré par un prestataire établi dans l’Union, dès lors qu’il satisfait à au moins une des exigences prévues par l’article 8 du décret, à savoir :
- que le prestataire satisfait aux exigences de fiabilité, de sécurité, d’archivage et d’authentification précisées au II de l'article 6 et a été accrédité, au sens de la directive du 13 décembre 1999 susvisée, dans un État membre ;
- ou que le certificat électronique délivré par le prestataire a été garanti par un prestataire établi dans l’Union européenne et satisfait aux exigences fixées au II de l'article 6 ;
- ou qu'un accord, auquel l’Union est partie, l'a prévu.
Source legifrance