Article réservé aux abonnés Archimag.com

Signature électronique : faut-il tout signer ? L'exemple des marchés publics

  • bureau_signature.jpg

    tablette-signature-electronique
    "Le document ou contenu va pouvoir être figé et accompagné de son dossier de traces pour être soit sécurisé dans un stockage fiable, soit archivé dans un SAE", Pierre Fuzeau de Serda. (Freepik/Pressfoto)
  • Sommaire du dossier :

     

    On signe tout et n'importe quoi ! Mais dans les faits, la signature électronique doit-elle reproduire nos pratiques (signatures et paraphes) manuscrites ? En pratique, comment l'utiliser et pour quels documents ? Faut-il tout signer ? La réponse ici, avec l'exemple des marchés publics.

    Qui n’a jamais reçu par messagerie un document à signer, l’a imprimé, l’a signé manuscritement, voire paraphé, puis l’a numérisé, sur son copieur multifonction standard, avant de le rattacher ou de le transférer au destinataire ? Puis, l’envoi électronique étant effectué, le papier devenu inutile est jeté ! Bref, on marche sur le tête. Il est temps de se mettre sérieusement à la signature électronique.

    La signature électronique est une des grandes tendances du moment. Selon la dernière enquête Serda menée dans le cadre de son 8e rapport annuel sur la gouvernance de l'information numérique, plus de 1 projet sur 2 intègre la signature électronique. Dès qu’un projet de Ged ou de dématérialisation est envisagé, la question est posée. 19 % des projets ont déjà intégré cette fonction, 34 % sont en cours de mise en oeuvre. Restent 47 % encore en questionnement pour une préplanification. C’est dire que la signature est aujourd’hui jugée critique dans la relation entre les entreprises, entre les entreprises et l’administration et entre les citoyens ou clients et les entreprises ou services publics. Pour autant, faut-il l'intégrer partout et à toutes les étapes d'une relation entre deux parties ?

    On signe tout et n’importe quoi

    Partons du constat très souvent observé et unanimement partagé : on signe tout et n’importe quoi ! Cette rage de signer (car c’en est une !) vient de loin : mettre sa marque, acter sa présence, voire exhiber son pouvoir ! Du coup, ce que l’on signait manuscritement, paraphait à chaque page, lisait et approuvait sur support papier, annotait avec un “vu”, qu’en est-il dans une version numérique ?

    Bannière-Archimag-V6.1.gif

    Un exemple très concret

    Partageons un exemple très concret : les très nombreuses “signatures” opérées dans le cadre du processus de passation de marché public. D’abord, que dit la réglementation en vigueur au regard de la signature électronique ? L’acheteur public doit signer seulement l’acte d’engagement et les courriers de rejet (ou déclaration sans suite ou infructuosité). De son côté, l’opérateur économique (fournisseur, prestataire, etc.) doit respecter les instructions de l’acheteur en matière de signature, soit au moins son offre finale (AE, CCAP, mémoire technique…) ou tout autre document dont la signature est imposée par l’acheteur. Voilà ce que disent les textes au regard des pièces d’un marché public. On le constate dans ce cas, l’opération de signature est, de fait, réduite à très peu de pièces.

    Signature électronique qualifiée

    Mais de quelle signature y parle-t-on ? On entend là que le processus de signature garantit l’identité du signataire, que la signature ne peut être copiée ou falsifiée et que l'intégrité du document signé est préservée et, en conséquence, qu’elle engage le signataire, puis il y a impossibilité pour lui de se désengager après son action de signer. On parle donc de signature électronique de type « qualifiée » dans ce cas (ou signature “RGS 2 étoiles”).

    Pour ce processus d’achat, toutes les autres signatures ne sont pas obligatoires ou réglementaires.

    La fonction d’engager celui qui signe

    Du coup, doit-on pour autant se passer de signature qui a la fonction d’engager celui qui signe ? Capitalisons encore sur ce processus d’achat qui comporte plusieurs séquences et zoomons séquence par séquence :

    1. L’expression du besoin et la formalisation technique et administrative du dossier de consultation. 
      Ici, tout se déroule en interne et souvent au sein de la même organisation. Il y a bien entendu des engagements à gérer, mais se sont des révisions, des validations, des visas. Aucune signature électronique réglementaire n’est requise. En revanche, il est nécessaire pour la bonne marche du processus que de nombreux actes « de signature électronique » soient tracés, enregistrés, voire archivés. L’identification (l’utilisateur a été enregistré dans l’annuaire AD/LDAP de l’organisme), puis l’authentification (l’utilisateur s’est connecté avec son login-mot de passe ou via sa carte agent), puis l’engagement (l’utilisateur a cliqué sur le bouton « pour visa », « pour attribution », « pour validation ») : toute la chaîne de la signature a été respectée. Le document ou le contenu a ensuite été « figé » par enregistrement, avec calcul d’empreinte ou pas, archivé ou pas. Pour cette instruction du dossier de consultation, de nombreux intervenants modifient des contenus et terminent par une fonction quasi complète de « signature ». Du coup, le document ou contenu va pouvoir être figé et accompagné de son dossier de traces pour être soit sécurisé dans un stockage fiable, soit archivé dans un SAE. Dans ce processus, aucune signature électronique réglementaire, mais juste des fonctions de signature électronique utilisées au gré des besoins et des risques associés.
    2. La passation du marché avec la consultation, les questions-réponses, l’analyse, les réponses. 
      Pour la séquence de la passation du marché avec la consultation, l’ensemble des dépôts documentaires (excepté les quelques pièces réglementaires) incluant les questions-réponses via la messagerie sécurisée ne nécessite aucune signature électronique RGS 2 étoiles. En revanche, s’identifier, s’authentifier, tracer, sécuriser, archiver sont un prérequis indispensable.
    3. L’exécution du marché.
      Pour les dernières séquences, hormis les pièces réglementaires à signer, le reste des pièces rentre dans les circuits indiqués en première séquence.

    Règles de bon sens

    En conclusion, pour signer électroniquement, il est recommandé d’appliquer le « juste signé » avec le niveau de service qui correspond. En d’autres termes, appliquons les règles de bon sens :

    • A risque faible, utilisons simplement des identifications-authentifications-engagements standards, sans chercher plus loin que la possibilité de remonter les journaux de traçabilité. Parfois les signatures machines, type cachets serveur, peuvent également suffire.
    • Pour les risques élevés (mais uniquement), utilisons les signatures réglementaires ou portant des identifications (en face à face pour la délivrance du certificat), des authentifications renforcées (sécurité SMS, etc.) et engagements forts (cryptage, contrôle de certificat, empreinte, horodatage certifié, contrôle de délégation de signature si besoin…), le tout tracé, versé et conservé dans un système d’archivage électronique à vocation probatoire (NF Z 42-013) ou/et un coffre-fort numérique.
    • Et pour les risques entre faibles et élevés, il faudra « naviguer » entre ces deux phares en se méfiant des « qui peut le plus peut le moins » qui peuvent finir par coûter cher sans que ce soit très justifié !

    La signature électronique embarque de fait des données à caractère personnel. La signature électronique et les données produites dans le cadre de son usage sont concernées par le RGPD. Chaque contenu ou document concerné respectera en conséquence les règles de purges et de durées de rétention en archivage qui doivent avoir été définies.

    Bonne analyse de risque et bonne signature !

    Pierre Fuzeau
    Directeur général du groupe Serda

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    Archimag-signature-electronique
    La signature électronique est l’une des clés essentielles de l’efficacité des organisations digitales. Depuis ses débuts, les prestataires qui la fournissent se livrent une rude concurrence dans un marché loin d’être stabilisé et qui suscite l’appétit des investisseurs.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    4
    C'est le montant de la levée de fonds réalisée par la start up Affluences.
    Publicité

    Couv demat 2020.png