Déployé sur l’ensemble des Etats membres, le service de validation eSign développé dans le cadre du programme européen PEPPOL permettant de vérifier la validité d’un certificat électronique étranger est opérationnel pour presque l’ensemble des Etats membres de l’UE. Opéré au niveau local par Lex Persona, le service de validation sert de point d’entrée Français au réseau européen et répond aux acheteurs publics Français pour les certificats étrangers comme aux autorités étrangères pour les certificats Français.
Cinq serveurs de validation assurent la couverture européenne du service. Le service de validation d’Unizeto (Pologne) référence à lui seul les autorités de certification de 16 Etats en plus de la Pologne.
En France, le service est opéré par la société Lex Persona qui tient à jour la liste française des autorités de certification et répond à toute demande de validation émanant d’un opérateur étranger ou d’une autorité étrangère; dans ce cas le service interroge lui-même des autres serveurs et symétriquement répond aux interrogations émanant de France pour les certificats étrangers. A ce jour, le service permet aux acheteurs publics de plus de 2500 collectivités en France de s’assurer de la validité d’une signature électronique d’un opérateur économique situé dans un autre Etat membre.
Rappelons que l’arrêté du 15 juin 2012 sur la signature électronique impose aux acheteurs de vérifier les certificats électroniques (*) utilisés lors de la signature soit au moyen de certificats émis par des autorités Françaises et donc soumises aux dispositions du RGS (décret du 2 février 2010) ou au moyen de certificats émanant d’une liste étrangère. En effet, l’article 2 de la décision 2009/767/CE du 16 octobre 2009 prévoit que « Chaque État membre chargé du contrôle ou de l’accréditation des prestataires de services de certification délivrant au public des certificats qualifiés établit, tient à jour et publie, conformément aux spécifications techniques figurant en annexe, une «liste de confiance» qui contient les informations minimales concernant ces prestataire ». Dans ce deuxième cas, le contrôle manuel peut s’avérer beaucoup plus difficile. A moins de référencer systématiquement toutes les autorités européennes, seul un service en ligne comme eSign peut fournir cette information de façon fiable et délivrer une attestation de validité qui soit juridiquement opposable.
Plus de 800 interrogations par mois
Avec plus de 800 interrogations par mois, le service est en plein développement constate François DEVORET de Lex Persona. Pour la France, Lex Persona fournit le service des plates-formes de dématérialisation telles que PLACE, la place des marchés interministérielle de l’Etat réunissant ministères, adaministrations centrales, l’UGAP et les chambres de commerce, KLEKOON et DOUBLETRADE. Lex Persona dispose aussi de sa propre offre de plate-forme de vérification LP7verifyBox sous la forme d’un webservice et propose finalement une possibilité de vérification au cas par cas sur simple inscription et moyennant l’achat de jetons de vérification.
Disponible en open source eSign fonctionne à partir de trois composants techniques, un interrogateur, un répondeur XKMS et un annuaire central hébergé sur les serveurs de la DIGIT (Direction informatique de la Commission Européenne). L’interrogateur XKMS constitue la partie intégrée à la plate-forme de l’opérateur de service de dématérialisation (appels d’offres, factures électroniques etc.) qui souhaiterait proposer ce service à ses clients.
(*) Sur la vérification systématique des certificats électroniques avec PEPPOL eSign et les équivalences entre certificats européens et les niveaux RGS, voir l’article
Pour toute demande d’information concernant la mise en œuvre de ce service, nous vous invitons à contacter Thierry AMADIEU – Open PEPPOL France ou complétez le formulaire de contact