Commande publique - Dématérialisation : les certificats électroniques étrangers sont-ils fiables ?
Dans le cadre d'une procédure d'achat dématérialisée, les certificats électroniques permettent d'identifier avec certitude les candidats ayant déposé des candidatures et des offres. L'acheteur public doit simplement s'assurer que l'entreprise utilise un certificat électronique fiable. A cette fin, lorsque l'entreprise est située sur le territoire français, il lui suffit de vérifier que ce certificat est référencé. En revanche, pour les entreprises établies hors de France, un travail d'investigation plus important s'avère nécessaire... un travail qui est de la seule responsabilité des acheteurs. Telle est la réponse apportée par le ministère de l'Economie à une question écrite du sénateur Gérard Collomb.
Entreprises établies en France : consulter la liste de référencement
S'agissant des entreprises situées en France, la tâche des acheteurs publics est relativement simple. En effet, l'article 6 de l'arrêté du 28 août 2006 sur la dématérialisation prévoit qu'une liste établie par le ministre en charge des réformes de l'Etat, référence "les différentes catégories de certificats électroniques que doivent utiliser les entreprises pour signer électroniquement les candidatures et les offres qu'elles remettent par voie dématérialisée". Cette liste permet d'établir une présomption de fiabilité et de sécurité de ces certificats. Néanmoins, les acheteurs doivent s'assurer que le certificat utilisé n'est ni échu, ni révoqué (vérifications généralement assurées par les plates-formes en ligne hébergeant les profils acheteurs).
Entreprises non établies en France : des investigations sont nécessaires
En revanche, face à des entreprises non établies en France, tout est plus difficile. Premièrement, la liste de référencement ne mentionne pas les certificats étrangers. Deuxièmement, l'obtention d'un certificat électronique référencé est "difficile voire impossible" pour une entreprise ne disposant pas d'un établissement en France (voir encadré). Dès lors, c'est à l'acheteur lui-même de faire les recherches afin de "vérifier que le signataire apposé avec ce certificat remplit bien des conditions équivalentes à celle que garantit le certificat délivré en France", telle que la sécurité, la fiabilité "et que le signataire a bien qualité pour engager l'entreprise", "sans se contenter de l'information donnée par la plate-forme". En effet, celle-ci indiquera "invariablement que le certificat n'est pas reconnu ou invalide".
Le ministère de l'Economie reconnaît qu'en "l'état actuel du droit, la solution reste imparfaite". Toutefois, il précise que ses services mènent actuellement "une réflexion sur le sujet et travaillent sur la rédaction d'un nouvel arrêté réglementant la signature électronique dans les marchés publics, avec un objectif d'ouverture et de simplification". Cependant, ce problème n'est pas franco-français. En effet, "le problème de l'interopérabilité des signatures électroniques, utilisée pour la passation de marchés publics électroniques, est un sujet qui se retrouve dans la plupart des pays de l'Union européenne, et plus largement à un niveau international".
Par mesure de sécurité, Bercy recommande donc aux entreprises utilisant des certificats non référencés de bien penser à envoyer une copie de sauvegarde de leur offre dématérialisée, soit sur support physique électronique, de type clé USB ou autres, soit sur support papier.
L'Apasp
Référence : Sénat, question écrite n° 18300 de Gérard Collomb (Rhône-SOC), réponse publiée au JO Sénat du 25 août 2011.
Comment obtenir un certificat électronique référencé ?
Pour obtenir un certificat, la démarche est la suivante : le demandeur de certificat électronique doit fournir à l'Autorité de certification – prestataire habilité à délivrer les certificats – divers documents officiels, dont notamment un "numéro d'identification unique de l'entreprise" (pour les entreprises situées en France, ce numéro est délivré par l'Institut national de la statistique et des études économiques (Insee) ; pour les entreprises établies hors de France, un autre identifiant peut être utilisé, si cette possibilité est prévue dans la politique de certification appliquée pour la délivrance de certificats référencés). Ensuite, afin de prendre possession de son certificat électronique, le demandeur doit se déplacer en personne. Cette dernière exigence rend "difficile voire impossible" l'acquisition d'un certificat référencé pour une société étrangère ne disposant pas d'un établissement en France. Toutefois, un tiers mandataire peut être utilisé mais à la condition que cette possibilité soit prévue dans les conditions imposées par le prestataire dans sa politique de certification.