Il se faisait attendre avec impatience depuis plusieurs mois, le voilà enfin publié. Il s’agit de l’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique (JO du 20 avril 2018), dernier né du chantier pharaonique de la transformation numérique de ladite commande publique.
Cet arrêté remplacera celui du 15 juin 2012 à compter du 1er octobre 2018, date à laquelle ces nouvelles dispositions entreront en vigueur.
Pour que la signature soit valable, acheteurs et opérateurs économiques doivent utiliser une signature électronique « avancée », reposant sur un certificat qualifié (article 2), conformément aux exigences du règlement européen du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS). Ce certificat qualifié peut être délivré :
> Par un prestataire de service de confiance répondant aux exigences du règlement eIDAS.
> Par une autorité de certification, française ou étrangère, répondant aux exigences équivalentes à l’annexe 1 du même règlement.
Les formats de signature électronique autorisés, quant à eux, sont limités : à savoir XAdES, CAdES ou PAdES exclusivement (article 3).
Pour signer électroniquement, le signataire peut utiliser :
> Soit le dispositif de son choix (article 4), mais il doit alors transmettre gratuitement le mode d’emploi permettant la vérification de la validité de la signature lors du dépôt du document signé (article 6 al. 1).
> Soit l’outil proposé par le profil d’acheteur. Il est alors dispensé, s’il utilise un certificat fourni par un prestataire de service de confiance, de transmettre la procédure de vérification de sa signature électronique (article 6 al. 2).
La procédure de vérification de la signature évolue peu. Elle passe par un contrôle fonctionnel portant au minimum sur l’identité du signataire, la validité du certificat (certificat « qualifié », non échu et non révoqué à la date de signature), le format de signature et l’intégrité du document (article 5). Cette vérification peut être effectuée de manière automatisée, à l’exception de la vérification de l’identité du signataire.
L’arrêté prévoit également que le signataire peut utiliser un parapheur électronique (article 7), et en rappelle les fonctions minimales, à savoir que cet outil doit permettre « le regroupement de documents à valider ou signer, la signature d’un même document par plusieurs signataires, sans en altérer l’intégrité, que l’utilisation soit locale ou en ligne ».
Enfin, pour accompagner le changement en douceur, le texte précise que les certificats de signature qui ont été délivrés en application de l’arrêté de 2012 pourront être utilisés jusqu’à leur expiration (article 8).
L’exécution de l’arrêté étant confiée à la DAJ (article 10), il faut donc s’attendre à la publication dans les prochaines semaines d’une ou plusieurs fiches techniques sur ce sujet sensible.