Qu’est-ce qu’un certificat de signature électronique ?
Un certificat de signature électronique est un document électronique qui a pour but de certifier l’identité de la personne signataire (carte d’identité), l’intégrité des documents échangés (protection contre toute modification) et l’assurance de non-répudiation (impossibilité de nier sa signature). Il est généralement fourni sur une clé USB.
Un certificat de signature électronique associe les données d’une signature électronique à une personne physique.
Parmi toutes les catégories de certificats de signature électronique proposées par des prestataires de services de certification électronique, le ministère chargé de la réforme de l’État référence celles qui respectent un référentiel intersectoriel de sécurité en répondant à des exigences techniques minimales.
Formation DEMATERIALISATION et DUME (J03)
Les entreprises qui souhaitent répondre aux appels d’offres doivent acheter un certificat de signature électronique auprès d’une autorité de certification lorsque la signature électronique est requise. Le coût est d’environ 270 euros HT pour une validité de 3 ans.
Pour les marchés publics, seuls les certificats de signature électronique RGS étaient acceptés. Désormais, la signature électronique doit être conforme au règlement eIDAS. Il convient de noter qu’il existe différents formats de signature (XAdES, CAdES et PAdES).
Où obtenir une signature électronique ?
Voir Où se procurer une signature électronique ?
Il est recommandé d’anticiper l’achat et de faire attention aux délais d’obtention.
Les certificats eIDAS à partir du 1er octobre 2018 pour les marchés publics
Pour répondre aux marchés publics, à partir du 1er octobre 2018, il est nécessaire de disposer d’une signature électronique avancée reposant sur un certificat qualifié conforme au règlement eIDAS.
Cependant, les certificats RGS restent valables jusqu’à leur expiration.
Les niveaux de signature électronique selon le règlement eIDAS
Le règlement eIDAS énumère quatre types de signature électronique correspondant à différents niveaux de sécurité :
- la signature électronique simple,
- la signature électronique avancée (niveau 2) définie à l’article 26 du règlement (UE) n° 910/2014,
- la signature électronique avec certificat qualifié (niveau 3), qui est une signature électronique avancée reposant sur un certificat qualifié, définie à l’article 26 et à l’article 28 du règlement (UE) n° 910/2014,
- la signature électronique qualifiée (niveau 4).
Pour répondre aux marchés publics, il faut au minimum une signature électronique avancée reposant sur un certificat qualifié conforme au règlement eIDAS. En France, les signatures électroniques avancées avec certificat qualifié (niveau 3) et les signatures électroniques qualifiées (niveau 4) sont autorisées.
Les certificats RGS peuvent être utilisés après le 1er octobre 2018
Il est important de noter que les certificats RGS peuvent être utilisés au-delà du 1er octobre 2018 jusqu’à leur expiration. L’arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique permet l’utilisation des certificats de signature électronique de type RGS conformément à l’arrêté du 15 juin 2012 relatif à la signature électronique jusqu’à leur expiration.
Liste des catégories de certificats de signature électronique référencées
La liste des catégories de certificats de signature électronique est disponible sur le site internet du ministère chargé de la réforme de l’État. Cette liste est mise à jour régulièrement.
Attention, cette liste n’est plus la seule utilisable suite à la publication de l’arrêté du 15 juin 2012 relatif à la signature électronique. Cet arrêté a été appliqué jusqu’au 30 septembre 2018, puis remplacé par l’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique à partir du 1er octobre 2018, lui-même remplacé par l’arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique – NOR: ECOM1830224A. Annexe 12 du code de la commande publique.
Certificat électronique ou certificat de signature selon le guide pratique de la dématérialisation des marchés publics
Un certificat électronique ou un certificat de signature est un document électronique qui a pour but de certifier l’identité de la personne signataire (carte d’identité), l’intégrité des documents échangés (protection contre toute modification) et l’assurance de non-répudiation (impossibilité de renier sa signature).
Certificat ou certificat électronique selon le guide pratique de la dématérialisation des marchés publics et le RGS
Un certificat ou certificat électronique, selon les dispositions du RGS, est un fichier électronique attestant qu’une clé appartient à une personne physique, une personne morale, un élément matériel ou un logiciel identifié, directement ou indirectement (pseudonyme). Il est délivré par un prestataire de services de certification électronique (PSCE). Lors de la signature du certificat, l’autorité de certification (AC) valide le lien entre l’identité et la clé publique. Le certificat est valable pendant une durée limitée précisée à l’intérieur.
Supports utilisables : matériel ou logiciel ?
Un certificat électronique peut être sous forme matérielle ou logicielle.
Dans le cas d’un certificat électronique sous forme matérielle, il peut prendre la forme d’une carte à puce ou d’une clé USB.
Un certificat proposé sur un support matériel est généralement préférable car il est plus sûr (on ne peut pas le copier), plus pratique (utilisable sur différents sites et toujours disponible même en cas de problème avec l’ordinateur) et souvent plus économique (accepté par toutes les téléprocédures des autorités administratives).
Ces raisons font que les certificats stockés sur support matériel sont de plus en plus utilisés.
Sources et références
- Arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique – NOR: ECOM1830224A. Annexe 12 du code de la commande publique.
- Arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique (applicable à compter du 1er octobre 2018).
- Arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics – NOR: EFIM1222915A.
- Arrêté du 28 août 2006 pris en application du I de l’article 48 et de l’article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics formalisés [abrogé par l’arrêté du 14 décembre 2009 relatif à la dématérialisation des procédures de passation des marchés publics à l’exception des articles 5 à 7].
- Art. 40 du Code des Marchés Publics 2004 [abrogé], Art. 56 du Code des Marchés Publics 2004 [abrogé].
- Décret 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information.
- Décret n° 2001-272 du 30 mars 2001 (Journal Officiel du 31 mars 2001) pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique [Abrogé par décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique – NOR: JUSC1716705D].
- Loi 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.
- Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques.
- Voir également : autorités administratives, système d’information, prestataire de services de confiance, produit de sécurité, téléservice, RGS (Référentiel général de sécurité), PRIS (politique de référencement intersectoriel de sécurité), RGI (Référentiel général d’interopérabilité), profil d’acheteur.
- Certificats : certificats de qualification professionnelle, certificats de qualité.