Mois : avril 2018
Article rédigé par Me le Foyer de Costil, avocat spécialisé en droit des marchés public.
La signature électronique des marchés publics est en effet requise dans le cadre du projet de dématérialisation des procédures de passation des marchés publics. Elle suscite beaucoup de questions, auxquelles l’arrêté vient en partie répondre.
Au terme de cet arrêté, les acheteurs qui se dotent d’une signature électronique, doivent disposer d’un certificat de signature qui doit répondre à l’une de ces deux conditions : être “délivré par un prestataire de service de confiance qualifié” au sens du règlement européen précité ou être “délivré par une autorité de certification, française ou étrangère, qui répond aux exigences équivalentes à l’annexe I du règlement susvisé”.
L’arrêté du 12 avril 2018 permet en outre d’opérer une transition entre le certificat de signature électronique « RGS », qui constituait précédemment le standard en la matière, et le certificat « eIDAS », imposé par la réglementation européenne. En effet, le règlement n° 910/2014 du 23 juillet 2014 (dit « eIDAS ») a prescrit aux acheteurs qui requièrent la signature électronique dans le cadre de leurs consultations de se doter d’une signature électronique avancée basée sur un certificat qualifié et conforme au règlement « eIDAS », ainsi que d’un dispositif de création de signature électronique.
L’arrêté précise les formats autorisés (XAdES, CAdES ou PAdES) et les éléments du contrôle fonctionnel lors de la vérification de la validité de la signature électronique. Il indique enfin que “la signature électronique peut être apposée au moyen d’un parapheur électronique.
L’arrêté du 12 avril 2018 apporte ainsi de très intéressants premiers éléments de réponse à la signature électronique des marchés publics, qui devraient cependant encore être précisées par la DAJ.
Revenons sur 2 points incontournables très simples à mettre en œuvre et permettant d’offrir un excellent niveau de confiance.
1° Sécuriser son site web
Si un site internet collecte des données personnelles (noms, coordonnées, mots de passe, etc.) et bancaires, il devient obligatoire de le sécuriser. Pour ce faire, l’usage d’un certificat SSL OV (Organization Validation) ou EV (Extended Validation) est nécessaire.
En s’équipant de certificats SSL certifiés, le site internet passera de HTTP à HTTPS. Mais surtout, ces certificats permettent à l’internaute de vérifier qu’il est effectivement sur le site légitime, et de rendre confidentielles les données personnelles qu’il envoie sur le site. En d’autres termes, l’internaute est sur un espace sécurisé et peut transmettre en toute confiance ses informations personnelles et bancaires.
Un conseil : Ne vous équipez pas d’un certificat SSL DV (Domain Validation), qui est en général fourni gratuitement. Le niveau de confiance de ce certificat est très limité, son organisme émetteur ne vérifie pas certaines informations ultra importantes comme l’existence de l’entreprise demandeuse.
2° Faire signer ses contrats en ligne confidentiellement… et en identifiant les parties
Ces certificats numériques personnels permettent également de contracter en ligne en utilisant une application de signature électronique. Ainsi les signataires seront authentifiés de façon formelle et les documents signés auront une valeur juridique.
Important : L’entreprise émettrice du contrat devra présenter à son client des garanties de confidentialité.
Le non-respect des nouvelles dispositions du RGPD sera lourdement sanctionné, aussi il ne faut pas attendre la dernière minute pour entamer sa mise en conformité.
