Il incombe au pouvoir adjudicateur de vérifier les conditions de validité de la signature électronique. Une signature électronique incomplète ne signifie pas absence de signature.
- Ordonnance de référé du 15 novembre 2010, Tribunal administratif de Limoges, Jugement du 12 novembre 2010 Infostance / Région Limousin et autre
Une offre dématérialisée mal signée ne peut être rejetée par le pouvoir adjudicateur comme non signée.
Par une décision récente, le Tribunal Administratif de Limoges confirme qu’il incombe au pouvoir adjudicateur de s’assurer que la signature électronique est valide.
En substance, l’entreprise avait transmis des fichiers signés, mais pour lesquels la signature apparaissait avec le message d’anomalie « signature altérée ».
Le tribunal administratif a considéré que les conditions de validité de la signature étant respectées (1) cette seule mention était insuffisante pour écarter l’offre du candidat.
« Les documents de l’offre de cette société ne pouvaient pas être regardés comme n’étant pas signés, dès lors que l’existence d’un certificat de signature électronique adéquat n’était pas en cause et que la difficulté concernait seulement le contrôle de la validité de l’utilisation de ce certificat ; qu’ainsi, le pouvoir adjudicateur ne pouvait pas refuser d’admettre la candidature de la société requérante au motif que les documents de son offre n’étaient pas signés. »
Cette décision fait peser une obligation de vérification de la validité de la signature sur la collectivité publique, dès lors que les candidats satisfont, de leur côté, aux impératifs techniques relatifs aux certificats et à la signature électronique. On peut voir dans cette décision, une volonté de clarifier les conditions d’utilisation et de vérification de la signature électronique.
La cour de cassation avait déjà confirmé les conditions de vérification de la signature
Le tribunal administratif semble ici se ranger à l’avis de la cour de cassation qui, dans un arrêt récent (2), nous rappelle les conditions de vérification de la preuve en électronique.
Plus précisément, dès lors qu’une partie dénie à l’autre, le fait d’être l’auteur d’un écrit sous forme électronique, le juge est tenu, en application de l’article 287 du code de procédure civile, de vérifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil à la validité de l’écrit ou de la signature électroniques étaient satisfaites.
Signature altérée ou incertaine, de quoi s’agit-il ?
La signature altérée ne signifie pas que la signature ou le certificat est invalide mais que les contrôles n’ont pu être effectués au moment de la réalisation de la signature en raison d’une impossibilité dans laquelle s’est trouvée la plate-forme de vérifier l’origine du certificat.
La signature « altérée » révèle que le certificat racine de l’autorité de certification est absent du magasin des certificats situé dans le navigateur du poste de l’entreprise et de ce fait, le lien ne peut être établi.
La signature « incertaine » révèle que le contrôle de révocation (CRL) (3) n’a pas pu s’effectuer en raison d’une indisponibilité du service au moment de la signature ou une anomalie dans le protocole OCSP (4).
En demandant à l’entreprise de télécharger les certificats racines de l’autorité, l’assistance technique de la plate-forme a effectué un bon diagnostic. L’action corrective ne prend généralement que quelques secondes à un utilisateur averti.
A défaut d’information sur l’origine du certificat, aucun élément ne permettrait de s’assurer que le certificat n’a pas été détourné ou piraté. Dans le contexte de l’affaire qui nous occupe, ce risque reste faible.
Finalement, même entachée de cette altération, la signature existait bel et bien. Le pouvoir adjudicateur avait tous les moyens à sa disposition pour vérifier son existence et celle du certificat associé, notamment la date de signature comprise entre les dates de validité et le nom du signataire.
Projetons nous quelques années en arrière et imaginons une époque où il était d’usage courant de mouiller son doigt pour vérifier si la signature manuscrite n’était pas une simple photocopie et nous conviendrons que la signature électronique apporte une sécurité juridique indéniable.
L’absence de signature, l’invalidité d’une signature ou d’un certificat constituent des causes de rejet objectif d’une candidature ou d’une offre.
Une anomalie dans le contrôle du certificat, ne doit pas constituer une condition suffisante de rejet de la candidature, sous la réserve que ces contrôles puissent être effectués a posteriori.
Quels enseignements tirer de cette affaire ?
Interrogeons nous sur la traduction juridique très imparfaite (dans le droit et le code des marchés publics) de fonctions éminemment techniques de la signature électronique jusqu’alors très superficiellement abordées.
Il nous faudrait examiner par exemple, la signification juridique d’une signature « altérée » ou « incertaine » et en quoi cette altération ou incertitude suffirait à motiver une décision par ailleurs lourde de conséquences.
Fort heureusement, le tribunal administratif a jugé à bon droit que cette simple mention ne pouvait motiver un rejet sans plus ample analyse. Imaginons seulement un instant, l’effet produit sur la dématérialisation qui peine déjà à s’imposer, d’une décision qui eut été plus radicale.
Une signature électronique remplissant les conditions de l’article 1316 du code civil peut-elle être rejetée au regard du règlement de consultation ?
- Ordonnance de référé du 10 octobre 2010, Tribunal administratif de Bordeaux, B.BRAUN Médical / CHU de Bordeaux
L’entreprise présente sa candidature par voie dématérialisée dans les délais. Son offre est rejetée au motif que sa candidature est non signée. L’entreprise disposait d’un certificat de signature valide mais en faisant usage d’un logiciel de signature autre que celui prévu par le profil d’acheteur, la société a pris le risque de voir son offre rejetée en produisant une signature dans un format différent de celui du profil d’acheteur.
« …que la société, alors que l’incompatibilité du format de cette fonctionnalité lui avait été signalée lors du dépôt du pli de candidature, a persisté à signer celle-ci, non pas en ayant recours au logiciel prescrit par le pouvoir adjudicateur, mais en utilisant le logiciel de signature dont elle avait fait l’acquisition auprès d’un prestataire et qu’elle avait intégré dans son propre système de gestion des candidatures et offres dématérialisées. »
« Considérant en deuxième lieu qu’en l’absence de dispositions réglementaires particulières, la détermination du logiciel de signature des candidatures à un marche public tel que celui en litige relève du règlement de la consultation établi par le pouvoir adjudicateur qu’aucune disposition n’interdit au pouvoir adjudicateur d’imposer aux candidats à un marche public un logiciel unique de signature dématérialisée… »
« …que comme l’a fait valoir le CHU de Bordeaux, le recours au logiciel de signature unique est motivé par une exigence technique et administrative de traitement uniforme des signatures des candidats; qu’en effet, l’utilisation par les operateurs de logiciels extérieurs à la plate forme d’achats publics impose des manipulations supplémentaires de nature a alourdir la tache du service, et comporte un risque accru d’erreurs et de blocages pouvant d’ailleurs être préjudiciables aux candidats compte tenu du délai strict de la consultation; que cette exigence, quand bien même le CHU de Bordeaux ne jugerait pas nécessaire de l’imposer dans toutes les consultations, participe ainsi des conditions de présentation uniformes des candidatures que le pouvoir adjudicateur peut raisonnablement imposer à tous les candidats. »
La signature électronique associe une composante cryptographique à un certificat électronique ; confondus aux yeux de l’utilisateur, ces deux composants remplissent des fonctions différentes. La composante cryptographie permet de garantir l’intégrité du document , le certificat constitue la composante identification. Alors que la signature électronique est normalisée, les logiciels de signatures ne sont pas soumis à la production de formats de signatures normés de telle sorte que les signatures diffèrent souvent légèrement. Le manque d’interopérabilité de la signature électronique, particulièrement patent dans les marchés publics, constitue une difficulté majeure qui explique au moins en partie le manque d’engouement des parties contractantes pour la dématérialisation. Une entreprise qui répond à plusieurs centaines d’appels d’offres par an se voit contrainte de jongler avec différents logiciels et formats de signature, au gré des désidérata des acheteurs publics. La dématérialisation devient, au mieux impraticable à grande échelle, au pire introduit une véritable faille de sécurité juridique.
En donnant raison au pouvoir adjudicateur, le tribunal administratif confirme qu’en l’absence de dispositions réglementaires particulières, ce dernier est en droit d’imposer les conditions fixées par son règlement de la consultation.
Les manipulations supplémentaires découlant du contrôle d’un certificat dans un autre format que celui du profil acheteur, nous semblent suffisamment légères pour être prises en compte par le pouvoir adjudicateur compte-tenu du nombre encore très faible d’entreprises équipées de parapheurs électroniques, dès lors que cette vérification peut s’effectuer d’un simple clic.
Imaginons en revanche quelles manipulations acrobatiques s’imposent aux gestionnaires des entreprises pour faire signer leurs dossiers avec les outils de signature de plus de 25 plates-formes différentes.
Si risque juridique il y a, celui-ci réside plus à notre avis dans ces procédures contraignantes que dans la signature elle-même. A l’hétérogénéité des logiciels de signature s’est ajoutée une inaptitude des plates-formes à répondre à la complexité des organisations des entreprises.
Cette décision du tribunal Administratif pourrait finalement freiner le déploiement de parapheurs électroniques, alors que ceux-ci, en contribuant à l’harmonisation des procédures de signature dans les grandes entreprises, favoriseraient l’essor de la dématérialisation des marchés publics.
En guise de conclusion :
En l’absence d’une signature réellement interopérable dans les marchés publics, nous continuons pour notre part à encourager le développement de parapheurs pour les raisons évoquées plus haut et sommes confiants quant à la sécurité juridique de la signature électronique.
Toutefois, il nous semble que l’utilisation de ces parapheurs devrait être conditionnée à la production d’une signature facilement vérifiable par le pouvoir adjudicateur. Par exemple, le format PADES (PDF Advanced Digital Electronic Signature) qui offre l’avantage d’être auto vérifiable sans le recours à des outils extérieurs. Finalement, la production d’un document à l’attention du pouvoir adjudicateur, appelé « politique de signature » expliquant quelle est la politique de signature et de vérification des certificats de l’entreprise, parait indispensable.
Idéalement, nous souhaiterions voir se développer un programme d’homologation des parapheurs électroniques qui contribuerait à une certaine harmonisation des plates-formes, une instance de vérification neutre pour tous les formats de signature électronique, facilement interrogeable à distance par les acheteurs . C’est d’ailleurs un objectif fixé par la commission Européenne, au travers du projet PEPPOL (5) que de pouvoir rendre possible la vérification d’un certificat issu de n’importe quel Etat membre. Et si finalement, entre rêve et réalité, il n’y avait plus de frontière…
Thierry AMADIEU et Thierry BEAUGE
Le 6 janvier 2011
- (1) Le guide pratique de la dématérialisation des marchés publics de la DAJ – juin 2010 « comment vérifier la signature » chapitre 2-3-6 p.25
- (2) Cassation civile. 1, 30 septembre 2010 (pourvoi: n°09-68555) vérification des conditions art. 1316 pourvoi 09-68555
- (3) CRL (Certificate Registry List ) liste des certificats révoqués détenue par l’autorité de certification
- (4) OCSP (Online Certificate Status Protocol) protocole de vérification en ligne de certificat est utilisé pour valider un certificat numérique
- (5) PEPPOL, Pan European Public Procurement OnLine