Signature électronique : vérification de la validité

Plan du guide de la dématérialisation des marchés publics

2. Sécurité, confidentialité et signature électronique : mode d’emploi

2.3.8.Comment vérifier que la signature électronique est valide

La signature est valide, lorsque les conditions ci-dessous sont remplies simultanément :

  1. la signature est apposée,
  2. le certificat utilisé appartient à l’une des catégories de certificats mentionnées au I de l’article 2 de l’arrêté du 15 juin 2012, c'est-à-dire soit une catégorie référencée, soit figurant sur une liste de confiance d’un Etat-membre de l’Union européenne, soit n’appartenant à aucune de ces deux catégories, mais présentant un niveau de sécurité suffisant.
  3. le certificat utilisé est valide à la date de la signature du document (ni échu, ni révoqué),
  4. le fichier est intègre
  5. le certificat est établi au nom d’une personne physique autorisée à signer.

Le profil d’acheteur peut assister le pouvoir adjudicateur dans la vérification de la signature électronique. Par exemple, la plateforme peut récupérer les éléments des listes de confiance des autres Etats-membres de l’Union européenne, qui sont disponibles en deux modes de lecture (humaine et machine), pour un examen automatisé du certificat de signature.

De même, la vérification manuelle des autres catégories de certificat de signature peut être proposée. S’agissant de la validité de la signature elle-même, la plate-forme de dématérialisation édite en principe, à cette fin, un bilan d’analyse pour chacun des points à vérifier ci-dessus.

L’acheteur conserve la responsabilité de la vérification et l'appréciation de la validité du certificat. C’est toujours à l’acheteur que revient la décision de rejeter ou d’accepter l’offre.

L’arrêté du 15 juin 2012 impose la transmission, avec le document signé, du mode d’emploi permettant de procéder aux vérifications nécessaires. Ce mode d’emploi contient des informations en nombre minimal, variable selon la catégorie de certificat utilisé (liste de confiance ou non), parmi lesquelles figure toujours, au moins, la procédure permettant la vérification de la validité de la signature.

Ce mode d’emploi peut être différencié des documents relatifs à la candidature ou à l’offre - détaché de ces éléments ou à côté d’eux -, ou pas.

Lorsque le soumissionnaire signe son offre avec son propre outil de signature, la transmission du mode d’emploi ou notice n’est pas nécessairement séparée. En effet, l’ouverture de la réponse est une 1ère étape, le déchiffrement (décryptage), qui permet l’accès à l’ensemble des fichiers « en clair » constituant la réponse. La vérification des « jetons de signature » (24) intervient dans un deuxième temps, une fois l’offre « ouverte ». La notice, si elle convenablement nommée, est alors visible parmi les pièces formant l’offre (toutes lisibles). Elle permet ensuite de comprendre comment s’opère la vérification des fichiers signés.

(24) La signature électronique d'un fichier peut être "enveloppée" ou "détachée". On parle de "signature enveloppée" lorsque le fichier signé intègre en lui-même la signature. On parle de "signature détachée" lorsque la signature électronique se présente sous la forme d'un fichier informatique autonome, distinct du fichier d'origine. Ce fichier autonome est appelé « jeton de signature ».

MAJ 28/12/12 - Source legifrance