Publicité

Comment et avec quel niveau de sécurité la signature électronique peut-elle se mettre au service des élus, des agents, et des citoyens ?

  • homme-daffaires-tablette-ville-numerisation.jpg

    homme-daffaires-tablette-ville-numerisation
    Peu à peu, la signature électronique se met au service des élus, des agents, et des citoyens ; avec des besoins de sécurité très diversifiés. (Pixabay/Gerd Altmann)
  • Série 8/9 : A l'occasion de la journée Confiance numérique d'aujourd'hui, le 10 juin, Archimag en collaboration avec tous les partenaires de l'évènement vous propose une série d'articles afin que vous puissiez commencer votre réflexion. Merci à Lex Persona pour cet apport sur la signature électronique. Pour vous inscrire, c'est ici.

    Depuis 20 ans, la signature électronique s’est progressivement répandue dans tous les secteurs de l’économie, privés comme publics, avec une relative discrétion, dans un contexte de transformation numérique croissante. Depuis le début de la crise sanitaire, force est de constater une accélération du mouvement, à laquelle les services publics n’échappent pas. Peu à peu, la signature électronique se met au service des élus, des agents, et des citoyens ; avec des besoins de sécurité très diversifiés.

    La mise en place du plan Action Publique 2022, qui vise à dématérialiser d’ici la fin de l’an prochain les 250 démarches les plus utilisées par les Français, a contraint de nombreuses collectivités à accélérer leur digitalisation et à remettre à plat toutes leurs procédures internes. Parallèlement à cela, les besoins en conformité et en sécurité de la sphère publique ont augmenté, après la montée en flèche des cybermenaces et des tentatives d’escroquerie. Plus que jamais donc, la mise en place d’un cadre de confiance est nécessaire. La signature électronique en est l’une des composantes majeures.

    Des questions pour un cahier des charges

    Si l’usage de la signature électronique est simple et si ses avantages ne sont plus à vanter (praticité, sécurité, traçabilité, gain de temps, etc.), bon nombre de collectivités s’interrogent encore sur la façon de la déployer. Quels documents sont concernés ? Quel est leur circuit ? Quels sont les processus internes de validation ? Les délégations de pouvoir ? Quel volume cela représente-t-il ? Qui peut signer ? Avec quel niveau de signature ? Autant de questions dont les réponses doivent permettre d’établir un cahier des charges en concertation avec la DSI.

    Qui signe électroniquement au sein des collectivités ?

    De manière générale, au sein des collectivités, seuls les élus et parfois les délégataires, comme le Directeur général des services, signent électroniquement. Si l’usage de la signature électronique par les agents reste encore rare, l’objectif est de le développer ; soit en les dotant de certificats de signature sur support physique (carte à puce ou clé usb), soit en les dotant de certificats délivrés à la volée par une plateforme de signature.

    Notez qu’un maire peut déléguer sa signature à un fonctionnaire listé par l’article L. 2122-19 du CGCT, mais qu’il doit, au préalable, prendre un arrêté de délégation de signature et obtenir également un certificat au nom du fonctionnaire ou de l’adjoint concerné. Mais attention, le certificat seul n’est d’aucune utilité, sans une solution de signature électronique associée.

    Quels documents soumettre à la signature ?

    Dans une collectivité, la signature électronique concerne aujourd’hui principalement deux domaines fonctionnels :

    • Les ressources humaines pour l’ensemble des documents de gestion courante.
      (Tels que contrats, avenants, lettres de mission, nomination, arrêtés du personnel, licenciement, etc).
    • Les documents achats, la finance, et la comptabilité pour les documents tels que les actes d’engagement d’appels d’offres, les commandes,
      la facturation, ou les flux Hélios (titres de recettes mandats de dépense et bordereaux récapitulatifs adressés au comptable de la DGFiP).

    On notera, en revanche, que pour les actes de décision et les délibérations, la signature électronique est encore largement en devenir. 

    Plus important encore : la signature électronique de l’usager !

    Inscriptions au collège ou au lycée, à la bibliothèque ou à la piscine, demandes d’urbanisme, de location meublée de tourisme, de raccordement au réseau d’eau, etc., sont autant d’opportunités de dématérialiser des procédures qui ont une importance capitale : engager la responsabilité de l’usager à respecter les services offerts par la collectivité.

    Quels outils de signature utiliser ?

    De nombreuses solutions métier mettent déjà en œuvre depuis de longues années des fonctions de signature électronique destinées aux responsables de la collectivité : flux Hélios PES/V2, profil d’acheteur, parapheur électronique pour les fonctions RH, etc. Mais avec le très fort développement actuel de la dématérialisation et de la transformation digitale qui s’étend jusque dans les foyers, il est nécessaire d’avoir une approche plus transversale et plus inclusive de la signature électronique.

    Et s’il est important pour la collectivité de mutualiser les outils de signature électronique afin de ne pas réinventer la roue pour chaque nouvel usage, il faut cependant bien dissocier ce qui relève de la signature électronique, de ce qui n’en relève pas, par exemple :

    • l’archivage électronique est une fonction cross-métiers qui ne touche pas que les documents électroniques signés, mais aussi bien des mails ou des documents papier numérisés ;
    • la collaboration sur des documents qui doivent être annotés, modifiés ou peaufinés jusqu’à la dernière minute ne doit pas impacter un processus de parapheur électronique dans lequel les documents signés sont finaux et ne bougent plus afin de conserver leur valeur probatoire.

    C’est une fois que ce périmètre est bien défini, qu’il s’agira de se préoccuper de la manière dont les différentes catégories d’utilisateurs pourront s’interfacer à la solution de signature électronique retenue : en s’appuyant tantôt sur le SSO de la collectivité pour les agents, les certificats sur support cryptographique pour les élus, France Connect pour les usagers réguliers, ou OTP SMS/courriel pour les personnes peu équipées ou connectées.

    C’est pour toutes ces raisons qu’une solution de signature électronique transverse doit proposer une API suffisamment puissante pour fédérer différentes applications métier et les formats de documents qui leur sont propres, tout en prenant en compte les spécificités des identités numériques qui vont les signer.

    À chaque cas d’usage son niveau de signature électronique

    Rappelons que la signature électronique est encadrée par deux dispositifs règlementaires distincts :

    • Le Référentiel Général de Sécurité (RGS) qui vise à renforcer la sécurité et la confiance dans les échanges au sein de l’administration et avec les citoyens. Il propose trois niveaux de signataire :
      • Elémentaire : RGS*
      • Standard : RGS**
      • Renforcé : RGS***

    Notez que les niveaux “Standard” et “Renforcé” nécessitent une vérification en face à face de l’identité du signataire et l’utilisation d’une clé sécurisée (carte à puce ou clé USB).  

    • Le règlement européen eIDAS sur l’identification électronique et les services de confiance qui prévoit, pour sa part, la génération d’une signature (dite) « simple », avancée ou qualifiée. Avec ce règlement, l’Union européenne s’est dotée d’un socle juridique encadrant l’usage de la signature électronique afin de développer son usage. Il définit trois niveaux de signature électronique : 
      • La signature électronique dite « simple ». Elle correspond au premier stade de sécurité dans la mesure où elle n’est constituée que de « données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Son objectif est essentiellement de ne discriminer aucune forme de signature électronique, y compris la simple mention d’un nom à la fin d’un courriel. Ce type de signature n’est pas défini dans le droit français. 
      • La signature électronique « avancée ». Elle répond à 4 exigences du règlement eIDAS : elle est liée sans ambiguïté au signataire et permet l’identification de ce dernier, elle offre un niveau de confiance élevée quant à sa mise en œuvre par le signataire et elle garantit l’intégrité de l’acte qui en résulte. C’est ce deuxième niveau de signature qui permet généralement aux agents de signer à distance conventions, arrêtés d’évolution et contrats de travail, ou aux usagers de signer leur adhésion à un service de la collectivité. Ce niveau de signature offre le meilleur compromis en matière de sécurité, de coût, de facilité d’usage et de mise en œuvre. 
      • La signature électronique « qualifiée ». C’est la plus sécurisée des signatures électroniques, et la seule à offrir la même valeur juridique qu’une signature manuscrite dans tous les États membres de l’UE. C’est une signature avancée qui repose sur un certificat qualifié de signature électronique ainsi que sur un dispositif qualifié de création de signature. De manière concrète, ce type de signature nécessite une vérification en face à face de l’identité du signataire et l’utilisation d’une clé sécurisée. Elle a vocation à être utilisée principalement pour des raisons de conformité règlementaire. Les signatures de niveau inférieur n’offrent pas la même valeur que la signature manuscrite mais n’en restent pas moins recevables comme preuve en justice.

    Notez que des travaux de mise à jour du RGS sont en cours afin de simplifier son articulation avec le règlement eIDAS.

    Moins de papier et plus de temps au service des usagers

    Le choix et le déploiement d’une solution de signature électronique peuvent tirer parti d’un accompagnement adapté aux besoins fonctionnels et règlementaires de la collectivité. Mais sa mise en place offre un ROI (« retour sur investissement ») rapide avec à la clé des bénéfices très significatifs : une économie sur les coûts papier et une réduction des délais de signature pour les élus, les agents, mais aussi pour les citoyens-usagers.


    1569256400678.jpg
    Imane Pasquier
    Directrice de la BU signature en ligne chez Lex Persona

    lp_logo.png

    enlightenedPour en savoir plus, les équipes Serda Archimag ont le plaisir de vous inviter à une webinaire exceptionnelle : "Journée confiance numérique", jeudi 10 juin de 09h30 à 17h00.
    Pour vous inscrire à ce webinaire gratuit, rendez-vous ici.

    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.

    supplement-confiance-numerique-270500.png