Le 22 octobre à l’occasion d’une réunion de l’OEAP, Monsieur Serge DOUMAIN de la Direction des Affaires Juridiques s’explique sur l’arrêté signature electronique des marchés publics. Il rappelle que ce texte est motivé par la recherche d’une plus grande simplicité et la nécessité d’un élargissement de la signature au cadre européen.
La DAJ qui avait déjà engagé une vaste concertation à laquelle nous avions pris part (1) se veut rassurante quant à la mise en application du dispositif.
Nous saluons au passage cette avancée qui consacre l’utilisation du parapheur pour les entreprises; sujet pour lequel nous avions longtemps milité et quelques autres aussi. Le texte qui ne dispose que pour les marchés publics n’est pas figé et est encore susceptible d’évolutions en fonction du retours des utilisateurs précise la DAJ.
- Certificats
Rappel des types certificats électroniques objet du présent arrêté.
L’abrogation de l’arrêté du 28 août 2006 rend caduque la liste PRIS dès l’entrée en vigueur du RGS, le 19 mai 2013 (2). D’ici là, les certificats PRIS V1 pourront être utilisés. La prise en compte de ces disposition par les autorités de certification et l’organisation de la migration gratuite ou non vers une conformité RGS soulève quelques interrogations. Il faudra être vigilant sur ce point. La DAJ rappelle à ce sujet que le référencement n’est pas obligatoire pour produire du certificat RGS. Elle relève uniquement de la politique de certification décidée par l’AC.
Pour les certificats étrangers, il sont valables dès l’instant qu’ils répondent à des normes équivalentes au RGS.
Comment établir cette correspondance ? Nous avions attiré votre attention sur le mapping des paramètres du RGS en regard des conditions de l’ETSI notamment pour les autres certificats européens; travail effectué par Alain ESTERLE dans le cadre de PEPPOL. (3)
- Vérification mode d’emploi
La DAJ indique qu’un mode d’emploi à l’attention des acheteurs doit être ajouté à la réponse dématérialisée pour indiquer les moyens de vérification de la signature.
Le fait que ce mode d’emploi soit inclus et non extérieur à l’offre elle-même ne semble pas poser de problème aux acheteurs (le mettre à l’extérieur serait une source d’oubli et compliquerait la réponse).
Nous avions pris les devants en recommandant aux utilisateurs d’un parapheur électronique maison, qu’un document « politique de signature » soit systématiquement ajouté à l’offre transmise. Ce document devant indiquer, le type de parapheur utilisé, le format de signature et les moyens de vérification utilisés par l’acheteur.
- Les formats
Les formats avancés CADES, XADES, PADES (confirmé par décision de la Commission Européenne) s’imposent par défaut à l’acheteur. D’autres formats peuvent être utilisés s’ils sont spécifiés explicitement dans le RC.
La problématique de vérification reste entière. La DAJ souligne que cette vérification est de la responsabilité de l’acheteur et ne saurait être déléguée.
Au passage, quelques mots sur la signature PDF (PADES) qui présente bien des avantages en terme de vérifications. Autoportante, PADES incorpore les moyens de vérification à l’aide du lecteur ACROBAT dans le document lui même.
Pour l’utilisateur, cette signature est rassurante car elle présente l’avantage d’une représentation graphique par un tampon cryptographique qui intègre les paramètres de vérification juridique. Les limites de PADES sont liées à la politique de référencement d’ADOBE qui ne référence pas systématiquement les autorités de certification (référencement payant). Cela implique que ce référencement soit effectué manuellement par le vérificateur directement dans sont lecteur ACROBAT.
PADES ne permet pas non plus de signer d’autres documents que PDF ce qui exclu d’autres types de fichiers (.xls, .doc etc.). Pour ce type de fichier, c’est le mode détaché qui prévaut (XADES, CADES etc.) En pratique, la transformation systématique de tous les fichiers en PDF avant signature nous semble souhaitable pour éviter les erreurs de manipulation. Pour résoudre ce problème et sauf contre-indication du RC, il suffit d’une version PDF signée du tableau Excel ajoutée systématiquement par l’entreprise à la version native utilisable par l’acheteur mais celle-ci non signée.
- LexPersona, le parapheur
Présentation du parapheur Sunnystamp de LexPersona qui insiste qur le fait que la vérification ne donnera pas le même résultat sans une cohérence des critères de validation. D’où la nécessité d’une table de correspondance. Pour les certificats LP met à disposition de l’interrogateur PEPPOL sur son site. (2).
En conclusion, ce texte nous semble encourager les avancées de la dématérialisation même si la charge de la vérification qui repose désormais sur les acheteurs
soulève de vrais questions. Evitons toutefois de tomber dans le travers d’une vérification dont les paramètres trop contraignants risquerait de freiner les développements ultérieurs. La complexité technique est particulièrement anxiogène pour l’ensemble des utilisateurs.
A ce propos, que se passe t-il en cas de survenance d’un litige, s’inquiète un acheteur ?
La question jurisprudentielle laisse la DAJ sans réponse qui souligne que le juge se trouve particulièrement démuni pour traiter de la haute technicité du sujet.
A notre avis, plus nous augmenterons les conditions techniques de recevabilité plus nous multiplierons les sources de litiges.
Où faut-il positionner le curseur ?
Comme toujours en telle matière « au milieu se tient la vertu ». Soyons donc pragmatique en présumant d’abord de la bonne foi de l’entreprise dès l’instant que la signature apposée sur un fichier est manifeste.
(1) projet d’arrêté, nos commentaires