Plan du guide de la dématérialisation des marchés publics
2. Sécurité, confidentialité et signature électronique : mode d’emploi
2.3.5.Quelle catégorie de certificats de signature électronique utiliser pour les marchés publics ?
L’arrêté du 15 juin 2012 précise les catégories de certificats de signature électronique utilisables. Il s’agit :
- des catégories de certificats de signature électronique référencés sur le site www.references.modernisation.gouv.fr. Il s’agit de produits dont la conformité à un cahier des charges accessible à la même adresse atteste de leur interopérabilité avec les systèmes d’information des administrations. Ils sont donc potentiellement utilisables dans d’autres téléservices. Pour l’instant, s’agissant des fonctions d’authentification et de signature, le cahier des charges ne prévoit que le référencement de produits qualifiés au regard des niveaux de sécurité ** et ***. La liste des produits référencés est accessible à l’adresse suivante : http://references.modernisation.gouv.fr/liste-des-offres-r%C3%A9f%C3%A9renc%C3%A9es
- des catégories de certificats de signature électronique figurant sur
une liste de confiance d’un Etat-membre de l’Union européenne. La
Commission européenne tient à jour une « liste de listes » visée dans
l’arrêté, qui donne accès aux listes de confiance des Etats-membre. Cette
liste des listes est accessible à l’adresse suivante :
http://ec.europa.eu/information_society/policy/esignature/eu_legislation/trusted_lists/index_en.htm.
Les certificats figurant sur une liste de confiance d’un Etat-membre sont acceptés a priori. Les informations figurant sur la liste de confiance permettent la vérification facilitée de la signature électronique. Lorsqu’il utilise un tel certificat, l’opérateur économique n’a pas à fournir d’élément supplémentaire. La liste de confiance française est accessible à l’adresse suivante : http://references.modernisation.gouv.fr/fr
- des catégories de certificats de signature électronique qui répondent à des normes de sécurité équivalentes à celles du RGS. Entrent dans cette catégorie les certificats de signature électronique qualifiés mais non référencés, ainsi que tout certificat ne figurant pas sur une liste de confiance et non référencés, mais présentant des éléments de sécurité suffisants. Le signataire qui utilise un tel certificat transmet tous les éléments permettant de vérifier que le certificat présente un niveau de sécurité suffisant.
Ainsi, deux cas sont possibles :
- Le certificat de signature émane de la liste de confiance française ou d’une liste de confiance d’un autre Etat-membre (pour les certificats qualifiés, équivalents au niveau 3* du RGS), c'est-à-dire qu’il peut être relié à un prestataire ou un produit de sécurité référencé par la France ou, pour les autres Etats-membres, par la Commission européenne ; dans ce cas, la conformité du produit au RGS est présumée, et les seules vérifications à opérer sont celles du niveau de sécurité (*, ** ou ***) et bien sûr, de la validité de la signature elle-même. Le signataire n’a pas à fournir d’autres éléments que ceux permettant la vérification de la validité de la signature.
- Le certificat de signature électronique n’est pas référencé sur une liste de confiance ; il peut s’agir de produits émanant de prestataires de pays-tiers, mais aussi de prestataires européens ou français qui n’ont pas fait l’objet d’un référencement. Ces certificats doivent être vérifiés. L’arrêté prévoit que le signataire transmet les éléments nécessaires à cette vérification, en plus des éléments nécessaires à la vérification de la validité de la signature elle-même. Cela peut être l’adresse du site internet de référencement dans le pays tiers, une preuve de la qualification du prestataire ou du produit, l’adresse de l’autorité de certification qui a délivré le certificat de signature, qui mentionne la politique de certification.
Source legifrance