Isabelle Guyot, consultante ECM chez Atol Conseils et Développements s’est prêtée à l’exercice du vrai / faux concernant le sujet de la signature électronique dans les marchés publics.

On peut s’appuyer sur le code des marchés publics en matière de signature électronique des documents de marché public.
FAUX (à moins d’être Marty MacFly, à cheval entre passé et futur)
Le code des marchés publics dont la dernière version date de 2006 a été abrogé le 1er avril 2016. Le nouveau code, qui s’appellera d’ailleurs “Code de la commande publique” sera publié a priori fin 2018. L’article 38 de la loi n° 2016-1691 du 9 décembre 2016 (dite Sapin 2) habilite le gouvernement à codifier par ordonnance les règles de l’achat public. Il pourra s’appuyer sur un cercle d’experts.

C’est pratique, entre l’abrogation de l’ancien code et la parution du nouveau, on fait comme on le souhaite.
FAUX (évidemment) 
La justice, comme la nature, a horreur du vide.
L’ordonnance n° 2015-899 du 23 juillet 2015 relative aux marchés publics a donné le coup d’envoi à la réforme de la commande publique. Les décrets du 25 mars 2016 relatifs aux marchés publics (n°2016-360) et aux marchés de défense ou de sécurité (n°2016-361), pris en application de l’ordonnance, achèvent la transposition des directives européennes et mettent en oeuvre la réforme. Ce sont donc ces textes qui s’appliquent à partir du 1er avril 2016.
Des arrêtés et avis s’ajoutent notamment l’avis relatif aux seuils de procédure publié, au Journal Officiel du 31 décembre 2017 qui concerne les seuils de l’achat public au 1er janvier 2018.

L’ordonnance n°2016-65 du 29 janvier 2016 relative spécifiquement aux contrats de concessions dispose aussi de son décret d’application (n°2016-86) le 1er février 2016 avec la même date d’entrée en vigueur le 1er avril 2016. Ici aussi, s’ajoutent des arrêtés et avis.

La législation en vigueur relative aux marchés publics indique qu’il est possible de signer de manière électronique un marché
VRAI
Décret n° 2016-360 du 25 mars 2016 relatif aux marchés publics, Section 3 : Signature du marché public, Article 102
« Le marché public peut être signé électroniquement, selon les modalités fixées par un arrêté du ministre chargé de l’économie« .
Il s’agit d’un texte de 2012 qui reste valable : l’
Arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics.

Le marché n’est signé que par l’acheteur
FAUX
Les marchés publics sont signés par l’acheteur qui est une autorité administrative et par le titulaire du marché : une autre autorité administrative ou un opérateur économique.

Pour répondre à un marché public en France, il faut forcément une signature électronique française
FAUX (même si certains voudraient vous faire croire que si)
Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 (dit eIDAS) prévoit la reconnaissance mutuelle des moyens d’identification électronique. Elle est effective depuis le 29 septembre 2015 sur une base volontaire et deviendra obligatoire le 29 septembre 2018. En France, elle est déjà effective dans le domaine des marchés public via l’Arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics.

Les formats de signature électronique acceptés sont restreints
VRAI
LArrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics, Article 3 indique que la signature est au format XAdES, CAdES ou PAdES. Le règlement de la consultation ou la lettre de consultation peut prévoir un ou plusieurs formats supplémentaires.

Les signataires utilisent un certificat RGS** pour signer les pièces de marché
VRAI et FAUX 
Ils peuvent utiliser un certificat de signature de leur choix appartenant l’une des trois catégories définies par l’Arrêté du 15 juin 2012, Article 2
– Les produits de sécurité et services de confiance qui ont obtenu une qualification qui atteste de leur conformité à un niveau de sécurité du référentiel général de sécurité. Les certificats de signature qualifiés RGS sont commercialisés par des prestataires de services de confiance qualifiés. Une liste des prestataires qualifiés est publiée sur le site de l’ANSSI.
– Une des catégories de certificats délivrées par une autorité de certification figurant sur la liste de confiance transmise et mise à la disposition du public par voie électronique par la Commission européenne. 
Pour ces derniers, la compatibilité du produit au Référentiel général de sécurité (RGS) est présumée, et les seules vérifications à opérer sont celles du niveau de sécurité (*,  **  ou  *** ou leurs niveaux équivalents) et de la validité de la signature.
– Une des catégories de certificats délivrées par une autorité de certification, française ou étrangère, qui répondent à des normes équivalentes à celles du référentiel général de sécurité.

Si les catégories de signature sont détaillées dans l’Arrêté du 15 juin 2012, le niveau de sécurité associé ne l’est pas. Ce dernier peut être variable et sera précisé au cas par cas, dans les documents communiqués par le pouvoir adjudicateur. La signature RGS n’est donc pas imposée, ni le niveau de sécurité ** (qui n’est d’ailleurs propre qu’au RGS) même s’il est vrai qu’en pratique, on retrouve souvent cette exigence (ou équivalent).

Il y a des équivalences entre les niveaux de sécurité du RGS et ceux du Règlement eIDAS
VRAI (en théorie mais elles ne sont pas encore bien explicitées)
Le Règlement eIDAS permet de créer un cadre européen de reconnaissance mutuelle et d’interopérabilité pour l’identification électronique et les services de confiance. Il offre (ou plutôt) impose la reconnaissance de certificats étrangers dans toutes les procédures publiques de chaque État membre tant que ce certificat :
– Figure sur une liste officielle publiée par la Commission Européenne. Il est entendu que pour figurer sur la liste, le service de confiance doit répondre à un certain nombre de critères.
– Présente un niveau de garantie égal ou supérieur à celui requis par l’organisme du secteur public concerné pour accéder à un service en ligne à condition que ce niveau soit substantiel ou élevé.

Trois niveaux de garantie sont prévus par eIDAS pour l’identification électronique.
•    Faible : à ce niveau, l’objectif est simplement de réduire le risque d’utilisation abusive ou d’altération d’identité,
•    Substantiel : à ce niveau, l’objectif est de réduire substantiellement le risque d’utilisation abusive ou d’altération d’identité,
•    Élevé : à ce niveau, l’objectif est d’empêcher l’utilisation abusive ou l’altération de l’identité.

Concernant les services de confiance (dont la signature électronique fait partie), eIDAS prévoit deux possibilités : qualifié et non qualifié alors que le RGS propose plus de finesse.

Un travail est effectué par l’ANSSI pour détailler les points de recoupement entre le règlement eIDAS et le RGS. Le tableau d’équivalence ou au moins de rapprochement entre la signature électronique au seins eIDAS et au sens RGS devrait voir le jour.

En utilisant une signature électronique qualifiée eIDAS on est conforme à la réglementation des marchés publics en France

VRAI
Le Règlement eIDAS détaille 3 types de signature électronique :
– Signature  électronique : données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.
– Signature électronique avancée : signature électronique qui répond aux exigences suivantes : être liée au signataire de manière univoque, permettre d’identifier le signataire, avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif, être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
– 
Signature  électronique  qualifiée : signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié et qui  repose  sur  un  certificat  qualifié  de  signature  électronique.

La signature qualifiée apportant le plus de garanties, elle répond aux besoins de sécurité qui peuvent être exigés dans le cadre des marchés publics.
Par ailleurs, avec le Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique, Article 1, il est indiqué que la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. La signature électronique qualifiée, au sens eIDAS, est équivalente à une signature manuscrite. Le droit français va plus loin et accorde à la signature électronique qualifiée la présomption de fiabilité, dont ne dispose pas la signature manuscrite. Tous les contextes sont concernés, pas uniquement les marchés publics.


Avec le Règlement eIDAS, le RGS devient inutile
FAUX (enfin, ça dépend mais ça dépasse).
En France, le 
RGS continue à s’appliquer pour partie. En effet, eIDAS ne concerne pas les échanges inter-administrations (qui n’impliquent ni les citoyens ni les entreprises). Parmi ces derniers, on peut citer par exemple le PES V2.
Le périmètre fonctionnel du règlement eIDAS n’est pas non plus identique à celui du RGS (ce dernier couvre notamment la délivrance de certificats d’authentification de personnes ou de machines, et la délivrance de certificats de confidentialité, qui sont deux services non couverts par le règlement).


L’arrêté de 2012 relatif à la signature électronique dans les marchés publics commence à être ancien. Il va être supprimé ?
VRAI et FAUX (en fait on suppose que oui mais on ne sait pas encore trop)
Le Règlement eIDAS  ayant des incidences sur le référentiel général de sécurité, un nouvel arrêté relatif à la signature électronique sera publié comme annoncé dans le Plan Transformation Numérique de la Commande Publique 2017-2022 (p. 23). Au delà du Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique en général, le projet est de développer un usage de la signature électronique adapté et proportionné aux besoins de la commande publique.

———–

Liste des principaux textes de référence :

– Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 (dit eIDAS) sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
– Les exigences applicables aux différents niveaux de garantie qui sont prévus par le règlement sont détaillées dans le Règlement d’exécution n°2015/1502 du 8 septembre 2015.

– Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques.
– Arrêté du 10 juin 2015 prorogeant les délais de mise en œuvre du référentiel général de sécurité.
– Le référentiel général de sécurité (RGS) est le cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens.
– Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique.
– Ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques.

– Ordonnance n° 2015-899 du 23 juillet 2015 relative aux marchés publics.
– Décret n° 2016-360 du 25 mars 2016 relatif aux marchés publics.
– Décret n° 2016-361 du 25 mars 2016 relatif aux marchés publics de défense ou de sécurité
– Autres textes relatifs aux marchés publics (arrêtés et avis).
– 
Plan Transformation Numérique de la Commande Publique 2017-2022.