Signature électronique : catégorie de certificat utilisable

Plan du guide de la dématérialisation des marchés publics

2. Sécurité, confidentialité et signature électronique : mode d’emploi

2.3.9.Quelle catégorie de certificat de signature électronique peut utiliser l’acheteur public ?

La signature électronique des autorités administratives est régie par l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives et ses textes d’application. Elle est conforme au RGS. En tant qu’acheteurs, les autorités administratives sont également soumises aux dispositions de l’arrêté du 15 juin 2012.

Il est toutefois recommandé à l’acheteur, soit de faire l’acquisition de certificats dont la catégorie figure sur la liste des certificats référencés, ou dont la conformité au RGS est facilement démontrable, soit d’utiliser une catégorie de certificat, produite en interne, de niveau équivalent. Dans tous les cas, l’acheteur public veille à la conformité du choix et de l’utilisation de son certificat de signature électronique avec la réglementation précitée sur les échanges électroniques.

Conseils aux opérateurs et aux acheteurs

L’opérateur économique utilise le certificat de son choix dès lors que celui-ci remplit les obligations minimales équivalentes à celles du RGS. Il s’assure que le certificat qu’il utilise est au moins conforme au niveau de sécurité préconisé sur le profil d’acheteur, et donne tous les éléments nécessaires à la vérification de cette conformité au RGS par le profil d’acheteur.

Les formats de signature XAdES, PAdES et CAdES doivent être acceptés par le profil d’acheteur, qui peut néanmoins prévoir d’accepter des formats supplémentaires. Cette possibilité doit alors être mentionnée dans les documents de la consultation ou la lettre de consultation, et le ou les formats supplémentaire(s) être spécifié(s).

Tout outil de signature conforme est utilisable. L’acheteur ne peut pas imposer l’emploi de l’outil de la plateforme. Néanmoins, lorsque l’opérateur économique utilise un autre outil de signature, il en permet la vérification en transmettant en parallèle les éléments nécessaires pour procéder à la vérification de la validité de la signature et de l’intégrité du document, et ce gratuitement.

Les profils d’acheteurs doivent donc être en mesure de traiter automatiquement les deux types de certificats (liste de confiance / hors liste), et de lire et contrôler les formats de signature les plus courants. Il est recommandé de préciser dans les documents de la consultation :

MAJ 28/12/12 - Source legifrance