La Mission pour les échanges dématérialisés a mis en ligne son livre blanc intitulé : « Tout savoir sur le certificat et la signature électroniques ». Le bilan sur la dématérialisation reste mitigé.
La Mission pour les échanges dématérialisés (MEDE) a mis en ligne un livre blanc relatif à la dématérialisation, dans sa version de mai 2007 et qui s’intitule : « Tout savoir sur le certificat et la signature électroniques ». Ce document a une vocation pédagogique : ces rédacteurs ont tenté de rassurer et de convaincre les professionnels sur les procédures immatérielles. Depuis le 1er janvier 2005, les procédures de passation des marchés publics peuvent être dématérialisées : si cette possibilité doit permettre de simplifier les choses, les entreprises candidates sont assez réticentes à employer cette voie.
LES INSTRUMENTS DE LA DÉMATÉRIALISATION
Avec l’accélération des échanges de données qu’offre le « monde virtuel », il ne fait pas de doute que dans un futur proche, une grande majorité des échanges se fera par la voie électronique. Cependant, devant les risques potentiels présents, les échanges doivent être sécurisés par le biais de certificats et de signatures électroniques.
Un certificat électronique « est un document sous forme électronique qui a pour but d’authentifier l’identité de la personne signataire ». Il contient les informations relatives à l’identité de la personne. Il peut être acquis auprès d’autorités de certifications. Il existe principalement trois niveaux de certificat. Le premier niveau est octroyé sur simple déclaration du demandeur. Le deuxième comprend « un contrôle à distance sur remise de justificatif ».
Enfin, le troisième qui correspond au niveau exigé pour les échanges avec les personnes publiques, implique « un contrôle en face à face du client ».
Même s’il peut se présenter sous la forme d’un logiciel, la MEDE recommande d’utiliser un certificat sur un support matériel comme une carte à puce. En effet, le disque dur d’un ordinateur peut avoir une défaillance ou être la cible « d’un acte de malveillance ».
La signature électronique, elle, correspond à un code qui est identifié grâce aux donnés du certificat. Il existe deux signatures : celle qui ne permet de certifier que l’authenticité des données et celle certifiant en plus l’authenticité du destinataire.
Pour qu’une signature électronique soit valable et engage l’entité à laquelle appartient le signataire, il faut que ce soit « le représentant légal de l’entreprise ou la personne dûment mandatée pour la représenter et habilitée à signer les actes déclaratifs et les paiements » qui demande l’octroi d’un certificat. Chaque personne ayant un pouvoir de signature dans l’entreprise doit posséder son certificat et signature.
Ainsi, la combinaison de ces deux éléments permet d’assurer une sécurité maximum des échanges. Cependant, certains éléments apparaissent comme des freins à l’utilisation des procédures dématérialisées.
DES DOUTES SUR LES PROCÉDURES DÉMATÉRIALISÉES
Ce livre blanc procède également à un bilan de l’emploi des procédures dématérialisées, qui fait suite à des enquêtes réalisées auprès de professionnels : plusieurs freins ont été recensés. Contrairement à ce que nous pourrions penser, ce n’est pas le coût d’acquisition qui représente un obstacle à la pratique. Les raisons de ce désintérêt pour ces procédures sont la complexité du système et le manque de confiance.
La dématérialisation qui est censée simplifier la vie des professionnels, est loin d’être perçue comme telle.
En effet, ce procédé peut paraître très contraignant : il est individualisé, temporaire, et parfois jugé trop lourd. Une signature électronique ne peut pas se prêter, même à l’intérieur d’une même structure : il faut donc un certificat par personne ayant un pouvoir de signer. Toute personne qui prête sa signature voit automatiquement sa responsabilité engagée pour tous les écrits couverts par sa propre signature. Une procédure de délégation est toujours possible mais elle est plus longue qu’une simple délégation papier.
Un manque de confiance dans ces procédures participe également à ce désintérêt des entreprises. Cette méfiance concerne l’aspect pratique. Beaucoup d’entreprises ont eu des difficultés pour obtenir les « bons outils ».
« Selon nos entretiens avec les entreprises pilotes, il semble que les obstacles tiennent davantage aux difficultés que rencontre l’entreprise dans les démarches préalables à l’obtention d’un certificat ».
Une autre crainte est celle de la transmission. En effet, il peut arriver que les documents transmis contiennent « un programme informatique malveillant ». L’arrêté du 28 août 2006, relatif à la dématérialisation des procédures de passation des marchés publics formalisés, prévoit des solutions dans une telle situation. Le candidat peut envoyer parallèlement une copie de sauvegarde électronique sur un support physique. De plus, le I de l’article 10 de cet arrêté prévoit qu’un fichier contenant un virus peut faire l’objet d’une réparation. Cependant, si le pouvoir adjudicateur ne peut pas récupérer les fichiers, les documents seront « réputés n’avoir jamais été reçu », d’après le II du même article.
Ce risque, beaucoup d’entreprises ne veulent pas le prendre car répondre à un appel représente du temps de travail et un investissement financier. Voir de tels efforts ruinés pour un problème informatique paraît parfois trop dangereux. Le pouvoir adjudicateur peut toujours utiliser les dispositions du I de l’article 52 du code pour remédier à cela. Cependant, dans la pratique, lorsqu’un acheteur public reçoit suffisamment de candidature, il n’utilise pas toujours cette possibilité.
Des doutes sont aussi présents sur l’aspect technique : comment faire confiance à un procédé informatique alors que des affaires de « piratage » sont mises à jour régulièrement !
La société qui s’en remet à un procédé dématérialisé est juridiquement engagée sur tous les documents qui comportent sa signature électronique. Cette inquiétude trouve d’ailleurs son corolaire du côté des acheteurs publics et plus généralement de ceux qui reçoivent des documents signés électroniquement. Sur ce point, la MEDE paraît très rassurante. Les certificats sont octroyés par des autorités de certification (AC) qui sont reconnu compétentes pour ce type d’opération et elle se porte garante de la protection qu’offrent ces produits.
« Une autorité de certification est responsable (vis-à-vis de ses clients, mais aussi de toute personne se fiant à un certificat électronique qu’elle a émis) de l’ensemble du processus de certification et, par voie de conséquence, de la validité des certificats qu’elle émet ».
Il faut également avoir confiance dans le système de cryptage et dans la plate-forme de dématérialisation du pouvoir adjudicateur. En effet, une fois l’offre déposée sur le serveur, il faut être sûr que personne ne pourra en faire de copie qui pourrait être décryptée par une personne mal intentionnée. Cette vision du piratage peut être un frein au dépôt d’offres électroniques.
Un autre point qui dérange les entreprises est le nombre élevé de sites de dématérialisation ayant chacun son système d’identification. Ainsi, les entreprises doivent gérer de véritables « bases de données » pour retenir identifiants et mots de passe.
L’État, en encourageant la dématérialisation, notamment dans les marchés publics, poursuit « un triple objectif de modernisation des services, de simplification des démarches administratives et de recherche d’une plus grande efficacité ». Il semble nécessaire, cependant, de continuer les campagnes d’information pour rassurer les professionnels.
Nous attendons impatiemment la même enquête auprès des pouvoirs adjudicateurs qui ne semblent pas non plus très enthousiasmes sur le sujet.