Depuis 20 ans, la signature électronique s’est progressivement répandue dans tous les secteurs de l’économie. Secteur privé comme public, avec une relative discrétion, et dans un contexte de transformation numérique croissante. Cependant, depuis le début de la crise sanitaire, force est de constater une accélération du mouvement. Et les services publics n’y échappent pas.
Peu à peu, la signature électronique se met au service du marché public (élus, agents et citoyens). Ses acteurs ont des besoins de sécurité très diversifiés. En effet, la signature électronique au profit du marché public induit quelques spécificités.
La mise en place du plan Action Publique 2022 permet de dématérialiser notamment les 250 démarches les plus utilisées par les Français. C’est malheureusement une contrainte pour de nombreuses collectivités à accélérer leur digitalisation et à remettre à plat toutes leurs procédures internes.
Parallèlement à cela, les besoins en conformité et en sécurité de la sphère publique ont augmenté. Après la montée en flèche des cybermenaces et des tentatives d’escroquerie. Plus que jamais donc, la mise en place d’un cadre de confiance est nécessaire. La signature électronique en est d’ailleurs l’une des caractéristiques majeures.
L’usage de la signature électronique est simple. Ses avantages ne sont d’ailleurs plus à vanter : praticité, sécurité, traçabilité, gain de temps, etc.
Pour autant, bon nombre de collectivités s’interrogent encore sur la façon de la déployer.
Autant de questions dont les réponses doivent permettre d’établir un cahier des charges en concertation avec la DSI.
De manière générale, au sein des collectivités, seuls les élus et parfois les délégataires, comme le Directeur général des services, signent électroniquement.
Si l’usage de la signature électronique par les agents du secteur public reste encore rare, l’objectif est de le développer. Que ce soit en les dotant de certificats de signature sur support physique (carte à puce ou clé usb). Ou bien encore en les dotant de certificats délivrés à la volée par une plateforme de signature.
Notez qu’un maire peut déléguer sa signature à un fonctionnaire listé par l’article L. 2122-19 du CGCT. Mais qu’il doit, au préalable, prendre un arrêté de délégation de signature. Ainsi qu’obtenir un certificat au nom du fonctionnaire ou de l’adjoint concerné.
Mais attention, le certificat seul n’est d’aucune utilité, sans une solution de signature électronique associée.
Dans une collectivité, la signature électronique concerne aujourd’hui principalement deux domaines fonctionnels :
On notera, en revanche, que pour les actes de décision et les délibérations, la signature électronique est encore largement en devenir.
Inscriptions au collège ou au lycée, à la bibliothèque ou à la piscine, demandes d’urbanisme, de location meublée de tourisme, de raccordement au réseau d’eau, etc.
Ce sont autant d’opportunités de dématérialiser des procédures qui ont une importance capitale. Elles engagent la responsabilité de l’usager à respecter les services offerts par la collectivité.
De nombreuses solutions métier mettent déjà en œuvre des fonctions de signature électronique destinées aux responsables de la collectivité. Notamment : flux Hélios PES/V2, profil d’acheteur, parapheur électronique pour les fonctions RH, etc.
Avec le très fort développement actuel de la dématérialisation et de la transformation digitale, il est nécessaire d’avoir une approche plus transversale et plus inclusive de la signature électronique. Notamment car elle s’étend jusqu’aux foyers.
Il est important pour la collectivité de mutualiser les outils de signature électronique. Afin de ne pas réinventer la roue pour chaque nouvel usage. Il faut cependant bien dissocier ce qui relève de la signature électronique, de ce qui n’en relève pas, par exemple :
C’est une fois que ce périmètre est bien défini, qu’il s’agira de se préoccuper de la manière dont les différentes catégories d’utilisateurs pourront s’interfacer à la solution de signature électronique retenue.
En s’appuyant tantôt sur le SSO de la collectivité pour les agents. Les certificats sur support cryptographique pour les élus. FranceConnect pour les usagers réguliers. Ou OTP SMS/courriel pour les personnes peu équipées ou connectées.
C’est pour toutes ces raisons qu’une solution de signature électronique transverse doit proposer une API suffisamment puissante. Pour fédérer différentes applications métier et les formats de documents qui leur sont propres. Tout en prenant en compte les spécificités des identités numériques qui vont les signer.
Rappelons que la signature électronique est encadrée par deux dispositifs règlementaires distincts, qui n’échappent pas au secteur public :
/ Le Référentiel Général de Sécurité (RGS) vise à renforcer la sécurité et la confiance dans les échanges au sein de l’administration et avec les citoyens. Il propose trois niveaux de signature :
Notez que les niveaux “Standard” et “Renforcé” nécessitent une vérification en face à face de l’identité du signataire. Ainsi que l’utilisation d’une clé sécurisée (carte à puce ou clé USB).
/ Le règlement européen eIDAS sur l’identification électronique et les services de confiance qui prévoit, pour sa part, la génération d’une signature (dite) simple, avancée ou qualifiée.
Avec ce règlement (et sa version 2.0), l’Union européenne s’est dotée d’un socle juridique encadrant l’usage de la signature électronique. Afin de développer son usage. Il définit trois niveaux de signature électronique :
La signature électronique dite « simple ». Elle correspond au premier stade de sécurité. Dans la mesure où elle n’est constituée que de « données sous forme électronique. Celles-ci sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ».
Son objectif est essentiellement de ne discriminer aucune forme de signature électronique. Y compris la simple mention d’un nom à la fin d’un courriel. Ce type de signature n’est pas défini dans le droit français.
La signature électronique « avancée ». Elle répond à 4 exigences du règlement eIDAS. Elle est liée sans ambiguïté au signataire et permet l’identification de ce dernier.
Offre un niveau de confiance élevé quant à sa mise en œuvre par le signataire. Et elle garantit l’intégrité de l’acte qui en résulte.
C’est ce deuxième niveau de signature qui permet généralement aux agents de signer des conventions à distance. Des arrêtés d’évolution. Et des contrats de travail. Ou aux usagers de signer leur adhésion à un service de la collectivité.
Ce niveau de signature offre le meilleur compromis en matière de sécurité. De coût. De facilité d’utilisation. Et de mise en œuvre.
La signature électronique « qualifiée ». C’est la plus sécurisée, et la seule à offrir la même valeur juridique qu’une signature manuscrite. Valable dans tous les États membres de l’UE.
C’est une signature avancée qui repose sur un certificat qualifié de signature électronique. Ainsi que sur un dispositif qualifié de création de signature.
De manière concrète, ce type de signature nécessite une vérification en face à face de l’identité du signataire. Ainsi que l’utilisation d’une clé sécurisée.
Elle a vocation à être utilisée principalement pour des raisons de conformité règlementaire. Les signatures de niveau inférieur n’offrent pas la même valeur que la signature manuscrite. Mais n’en restent pas moins recevables comme preuve en justice.
Notez que des travaux de mise à jour du RGS sont en cours afin de simplifier son articulation avec le règlement eIDAS.
Le choix et le déploiement d’une solution de signature électronique peuvent tirer parti d’un accompagnement adapté aux besoins fonctionnels et règlementaires de la collectivité. Mais sa mise en place offre un ROI (« retour sur investissement ») rapide avec à la clé des bénéfices très significatifs. Plus particulièrement : une économie sur les coûts papier et une réduction des délais de signature pour les élus, les agents, mais aussi pour les citoyens-usagers.
Pas le temps d’attendre le webinaire ?