Annexe au Rglement de la consultation relative la signature lectronique Page 1 / 4
ANNEXE AU REGLEMENT DE LA CONSULTATION
EN CAS DE REPONSE ELECTRONIQUE - PRECISION SUR LA SIGNATURE ELECTRONIQUE DES PIECES
Prambule : Se prparer l'avance
Ncessit de certificat numrique Configuration l'avance du poste de travail - recommandation de se prparer avec la Consultation de test En cas de rponse lectronique, la signature lectronique de certaines pices est requise. Le soumissionnaire doit avoir au pralable fait l'acquisition d'un certificat lectronique. Obtenir un certificat lectronique prend plusieurs jours, voire plusieurs semaines. Si le soumissionnaire ne possde pas de certificat lectronique valable dans le cadre de la rponse un march dmatrialis, il est impratif qu'il en fasse la demande l'avance. Il est galement fortement recommand au soumissionnaire de prendre ses dispositions de manire ce que sa rponse lectronique soit dpose dans les dlais impartis. Un test de configuration du poste de travail ainsi que des consultations de test sont mis sa disposition sur la plateforme (cf. Guide Utilisateur).
1) Fichiers concerns par la signature lectronique Chaque pice dont la signature individuelle est requise (cf. article du Rglement de la Consultation relatif au contenu des offres) doit tre signe de faon individuelle sous forme lectronique. A cette fin, le candidat suit prcisment les instructions mentionnes dans le Rglement de la Consultation et cette annexe, faute de quoi sa rponse peut tre rejete.
2) Signature lectronique des fichiers de la rponse Par application de l'arrt du 15 juin 2012 relatif la signature lectronique dans les marchs publics en vigueur partir du 1 er octobre 2012, le candidat doit respecter les conditions relatives : au certificat de signature du signataire l'outil de signature utilis (logiciel, service en ligne, parapheur le cas chant), devant produire des signatures lectroniques conformes aux formats rglementaires Ces conditions sont dcrites ci-aprs. Il est impratif que le soumissionnaire en prenne connaissance avec attention. En effet, selon les choix du soumissionnaire concernant le certificat utilis (Cas C1 ou C2) d'une part et l'outil de signature utilis (Cas OS1 ou OS2) d'autre part, il lui faut produire diffrents types de justificatifs, tels que prciss dans les articles qui suivent.
Certificat reconnu (cas C1) Certificat non rfrenc (cas C2) Outil de signature de la plate-forme (cas OS1) Aucun justificatif fournir Justificatifs "Autorit de certification" fournir Outil de signature de soumissionnaire (cas OS2) Justificatifs "Outil de signature" fournir Justificatifs "Autorit de certification" fournir Justificatifs "Outil de signature" fournir
Annexe au Rglement de la consultation relative la signature lectronique Page 2 / 4
2.1) Exigences relatives au certificat de signature du signataire Le certificat de signature du signataire doit tre conforme au RGS (Rfrentiel gnral de scurit) ou quivalent et respecter le niveau de scurit exig.
Cas C1 : Certificat mis par une Autorit de certification "reconnue" - Aucun justificatif fournir Le certificat de signature est mis par une Autorit de certification mentionne dans l'une des listes de confiance suivantes :
Liste de confiance Adresse internet RGS (France) http://references.modernisation.gouv.fr/liste-des-offres- rfrences EU Trusted Lists of Certification Service Providers (Commission europenne) http://ec.europa.eu/information_society/policy/esignature/eu_ legislation/trusted_lists/index_en.htm PRIS V1 (France) (uniquement jusqu'au 18 mai 2013) http://www.industrie.gouv.fr/tic/certificats
Dans ce cas, le soumissionnaire n'a aucun justificatif fournir sur le certificat de signature utilis pour signer sa rponse.
Cas C2 : Le certificat de signature lectronique n'est pas rfrenc sur une liste de confiance - Diffrents justificatifs fournir
La plateforme de dmatrialisation accepte tous les certificats de signature lectronique prsentant des conditions de scurit quivalentes celles du Rfrentiel gnral de scurit (RGS). Le candidat s'assure par lui-mme que le certificat qu'il utilise est au moins conforme au niveau de scurit dfini par le Rfrentiel gnral de scurit (RGS), et en fournit les justificatifs dans sa rponse lectronique. Le candidat fournit galement tous les lments techniques permettant l'acheteur de s'assurer de la bonne validit technique du certificat utilis. Ainsi, le signataire doit transmettre avec sa rponse lectronique les lments suivants : 1) tout lment permettant la vrification de la qualit et du niveau de scurit du certificat de signature utilis : a. preuve de la qualification de l'Autorit de certification ou compte-rendu d'audit, b. politique de certification, c. adresse du site internet du rfrencement de l'Autorit de certification par le pays d'tablissement, d. etc. 2) les outils techniques de vrification du certificat : a. chane de certification complte jusqu' l'Autorit de Certification racine, b. adresse de tlchargement de la dernire mise jour de la liste de rvocation des certificats (CRL)
Il est prcis que tous ces lments doivent tre d'accs et d'utilisation gratuits pour l'acheteur, et tre accompagns le cas chant de notices d'utilisation claires. Annexe au Rglement de la consultation relative la signature lectronique Page 3 / 4
2.2) Outil de signature utilis pour signer les fichiers La rglementation autorise le soumissionnaire utiliser l'outil de signature de son choix.
Cas OS1 : Le soumissionnaire utilise l'outil de signature de la plate-forme - Aucun justificatif fournir La plate-forme intgre un outil de signature lectronique, qui ralise des Jetons de signature au format rglementaire XAdES. Dans ce cas, le soumissionnaire n'a aucun justificatif fournir sur les signatures lectroniques transmises et l'outil de signature utilis.
Cas OS2 : le soumissionnaire utilise un autre outil de signature que celui intgr la plate- forme - - Diffrents justificatifs fournir Lorsque le candidat utilise un autre outil de signature que celui de la plate-forme, il doit respecter les deux obligations suivantes : 1) Produire des formats de signature XAdES, CAdES ou PAdES. 2) Permettre la vrification en transmettant en parallle les lments ncessaires pour procder la vrification de la validit de la signature et de l'intgrit du document, et ce, gratuitement. Ainsi, le signataire doit transmettre avec sa rponse lectronique les lments suivants : 1) indication du format de signature utilis : a. format technique (XAdES, CAdES ou PAdES), b. mode d'accs la signature ("signature enveloppe" ou "signature dtache", cf. Dfinition en Annexe), c. extension du fichier informatique du jeton de signature en cas de signature dtache (ex: extension "*.xml") 2) indication de l'outil de signature utilis : a. nom de l'outil, b. diteur, c. description succincte (ex : site Internet de prsentation) 3) indication de l'outil de vrification de signature correspondant, devant tre accessible par l'acheteur public a. Lien internet de rcupration de l'outil ou fourniture de l'outil lui-mme b. Notice d'utilisation en langue franaise c. Prsentation des conditions d'installation : type d'excutable, systmes d'exploitation supports, etc. d. Procdure de vrification alternative en cas d'installation ou de vrification impossible pour l'acheteur : contact joindre, support distant, support sur site, etc.
Il est prcis que tous ces lments doivent tre d'accs et d'utilisation gratuits pour l'acheteur, et tre accompagns le cas chant de notices d'utilisation claires.
Annexe au Rglement de la consultation relative la signature lectronique Page 4 / 4
2.3) Dossier ZIP et signature scanne
Rappels gnraux : Chaque fichier signer doit tre sign individuellement, de telle sorte que chaque signature puisse tre vrifie indpendamment des autres. Un dossier zip sign n'est pas accept comme quivalent la signature de chaque document qui constitue le dossier zip. Une signature manuscrite scanne n'a pas d'autre valeur que celle d'une copie et ne peut pas remplacer la signature lectronique.
3) Annexe : Dfinitions Signature enveloppe, Signature dtache, Jeton de signature La signature lectronique d'un fichier peut tre "enveloppe" ou "dtache". On parle de "signature enveloppe" lorsque le fichier sign intgre en lui-mme la signature. On parle de "signature dtache" lorsque la signature lectronique se prsente sous la forme d'un fichier informatique autonome, distinct du fichier d'origine. Ce fichier autonome est appel Jeton de signature.