En ce jour, la dématérialisation commence à gagner de plus en plus de place auprès des marchés publics, en l’occurrence les services achats, la finance et les ressources humaines. Cela est dû par la conversion forcée vers le télétravail de certaines entités, mais également c’est pour une cause environnementale. Puisque, pour rappel, les papiers sont issus de la transformation des troncs d’arbres, couper des arbres signifie pratiquer de la déforestation, qui à son tour est synonyme de la destruction de l’environnement. Toutefois, même en étant numérisés, les documents doivent suivre les procédures normales. Cela dit, avoir des signature et cachet valides. Ci-dessous donc le règlement européen, baptisé
iedas régissant sur les services de confiance.
Le règlement eIDAS, de quoi s’agit-il exactement ?
Il convient de noter que les services de confiance englobent toutes les prestataires qui œuvrent dans la création, la vérification, la conservation ainsi que la validation de signatures, de cachets et d’horodatages électroniques. De même, les entreprises qui délivrent des certificats relatifs à ces services font également partie de ces services. Mis à jour le 24 juillet 2014, le
règlement eidas, acronyme de Electronic Identification And trust Service définit donc les obligations réglementaires suivant le cadre juridique préétablit concernant ces activités.
Pour faire simple,
eIDAS délimite et encadre l’utilisation des services de confiance comme la délivrance de certificat d’authentification de site web, l’émission d’horodatage, la création de la signature électronique, la création du cachet électronique et les services d’envois recommandés électroniques.
Son but est de déterminer l’identification électronique des documents pour ensuite protéger les transactions et faciliter les contrôles du comptable au sein des marchés publics. Pour information, un marché public est un contrat conclu entre un acheteur et un opérateur économique. À noter que l’acheteur et l’opérateur peuvent être des entités publiques et privées.
Le règlement eIDAS concernant les documents électroniques
Le règlement
eidas est formé de 11 chapitres informatifs. Dans le quatrième chapitre figurent les lois concernant la véracité des documents électroniques. Ce dernier souligne qu’un document électronique peut servir d’une preuve irréfutable dans une confrontation en justice. Pour rappel, en 2016, les faits appuyés par des documents numériques étaient encore sujets à des doutes et des réticences. Cette affirmation est cependant limitée par des conditions.
La première est que les documents en question doivent être certifiés par des prestataires de service de confiance qualifié. Cela dit, ces derniers respectent les exigences liées à la politique de certification. Un guide qui est élaboré par le Secrétariat général pour la modernisation de l’action publique et l’Agence nationale de la sécurité des systèmes d’information sur le référentiel général de sécurité (RGS). Cette politique de certification concerne le chiffrement, l’authentification de personne concernée, l’authentification de la signature électronique enregistrée, l’authentification de machine en question ainsi que le cachet électronique. Seuls les documents respectant le format de ces précédents critères sont jugés légaux. De même, ce politique de certification est encore catégorisé en 3 étoiles suivant l’exigence des tenants et des aboutissants. Le second est que ces prestataires doivent faire l’objet des audits réguliers, effectués notamment par des organismes d’évaluation de la conformité.
Le règlement eIDAS concernant la signature électronique
Pour ce qui est de la signature électronique, le
règlement eidas en a défini 3 types pour que ce soit facile à vérifier et à valider. Il s’agit des signatures simples, avancées et qualifiées. Récemment, un quatrième type est apparu, la signature électronique avancée avec certificat qualifié. Leurs différences résident dans le fait que les deux premiers types (simples et avancées) ne sont pas sujets à des audits réguliers. De même, ces derniers n’influencent pas les décisions de l’organe contrôleur. Comme composant, la signature simple est formée de données électroniques. Contrairement à la signature avancée, elle ne permet pas d’identifier le signataire. Cette signature avancée peut également être utilisée sous le contrôle exclusif de son propriétaire. Cela dit, les modifications avec cette dernière sont détectables.
Les autres types de signatures (qualifié et avancée avec certificat) quant à eux sont soumis à des audits réguliers. L’audit peut être effectué par un tiers compétent ou encore un indépendant. De même, ces signatures sujetts à la décision de qualification du service de délivrance des certificats électroniques. À noter que cette qualification est octroyée par l’organisme de contrôle.
Le règlement eIDAs sur les identifications électroniques et l’horodatage
En ce qui concerne les moyens d’identifications électroniques, le règlement
eidas en a divisé en 3 niveaux : celui des garanties faibles, substantielles et élevées. Cependant, les États européens encouragent à ce dont les prestataires dans les services de confiance font toutes partie des degrés substantiels et élevés. Qui plus est que la vérification d’identité à distance est désormais faisable.
Pour ce qui est de l’horodatage, le règlement eIDAS n’en a pas eu d’impact notable. La seule modification s’est opérée dans la suppression de la distinction entre l’horodatage et l’horodatage qualifié de la RGS.