Les entreprises qui répondent aux marchés publics, lorsqu’une signature est requise, doivent utiliser une signature électronique conforme aux exigences du règlement eIDAS relatives à la signature électronique avancée reposant sur un certificat qualifié. Ces dispositions sont issues de l’arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique
Définition d’une signature électronique avancée reposant sur un certificat qualifié
Une signature électronique avancée reposant sur un certificat qualifié doit :
- d’une part, être une signature électronique avancée, donc répondre aux exigences énoncées à l’article 26 du règlement (UE) n° 910/2014 du parlement européen et du conseil du 23 juillet 2014 (Règlement eIDAS) ;
- d’autre part reposer sur un certificat qualifié, donc un certificat de signature électronique fourni par un prestataire de services de confiance qualifié répondant aux spécifications figurant à l’annexe I du règlement (UE) n° 910/201.
Elle doit être une signature électronique avancée (Article 26 du règlement eIDAS)
Article 26 – Exigences relatives à une signature électronique avancée
Une signature électronique avancée satisfait aux exigences suivantes:
a) être liée au signataire de manière univoque;
b) permettre d’identifier le signataire;
c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et
d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
Et reposer sur un certificat qualifié
Annexe I – Exigences applicables aux certificats qualifiés de signature électronique (du règlement eIDAS)
Les certificats qualifiés de signature électronique contiennent:
a) une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique;
b) un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et:
– pour une personne morale: le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,
– pour une personne physique: le nom de la personne;
c) au moins le nom du signataire ou un pseudonyme; si un pseudonyme est utilisé, cela est clairement indiqué;
d) des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique;
e) des précisions sur le début et la fin de la période de validité du certificat;
f) le code d’identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié;
g) la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat;
h) l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g);
i) l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié;
j) lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé.
Textes
Arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique – NOR: ECOM1830224A.
Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique – NOR: JUSC1716705D.
Règlement (UE) No 910/2014 du parlement européen et du conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (Règlement eIDAS)