icona di ricerca
icona di ricerca
icona di ricerca

Catégorie : blog

Certificat d’appel d’offres : l’indispensable sésame pour participer aux marchés publics

SOMMAIRE
  • SOMMAIRE

Certificat d’appel d’offres : l’indispensable sésame pour participer aux marchés publics

La dématérialisation complète des appels d’offres publics est imminente : à partir de 2021 (et au-dessus d’un seuil fixé à 40 000 euros), les échanges d’informations devront être 100 % numériques. Conséquence : pour candidater dans le cadre d’un marché public, il vous faudra signer électroniquement les documents à transmettre. Donc obtenir un certificat de signature électronique dédié, ou certificat d’appel d’offres. Voici ce qui va changer au 1er octobre et comment vous y préparer avec le certificat adéquat.

La dématérialisation des marchés publics

La dématérialisation des marchés publics

La dématérialisation des marchés publics est en marche. Les centrales d’achat sont actuellement les seules concernées par les obligations relatives à la dématérialisation des processus (depuis le 1er avril 2017). Mais, cette fois, toutes les entreprises seront touchées.

Mis en œuvre par l’État français, ce calendrier est une transcription dans le droit national d’une directive européenne sur la passation des marchés publics. Plusieurs arrêtés ont fait suite à l’ordonnance du 23 juillet 2015 et au décret du 25 mars 2016, dont celui d’avril 2018 relatif à la signature électronique dans la commande publique.

Concrètement, qu’est-ce qui a changé ?

Concrètement, qu’est-ce qui a changé ?
  • Tout appel d’offres public donnera lieu à la publication des documents de la consultation en ligne, dès que la valeur du besoin sera égale ou supérieure à 40 000 euros hors taxes.
  • Cette publication devra se faire sur des profils d’acheteurs, offrant un accès libre aux documents de consultation et aux contrats signés.
  • Les communications et les échanges d’informations devront être réalisés par voie électronique. Cela inclut les procédures de conclusion du marché, notamment par le biais de l’utilisation d’un certificat de signature électronique répondant aux exigences du règlement eIDAS, aussi appelé, pour l’occasion, certificat d’appel d’offres.

La loi sur les marchés publics suppose, pour les entreprises, de se familiariser au plus vite avec les obligations qui s’imposeront en octobre, principalement la nécessité de se doter d’un certificat d’appel d’offres afin de signer numériquement les réponses envoyées dans le cadre des candidatures aux marchés publics.

Analysons maintenant, dans les grandes lignes, les changements qui s’annoncent, du point de vue des acheteurs et des entreprises candidates.

Du côté des acheteurs et des autorités concédantes : la création d’un profil acheteur

Du côté des acheteurs et des autorités concédantes : la création d’un profil acheteur

Pour une collectivité qui poste un appel d’offres, la principale « nouvelle » obligation consiste à se doter d’un profil acheteur. En réalité, elle n’est pas totalement neuve, puisque ces profils sont déjà obligatoires au-dessus de 90 000 euros. Le seuil est simplement abaissé à 40 000 euros.

Le profil acheteur permet de recueillir et de présenter la totalité des documents de la consultation. Ces pièces sont mises (gratuitement) à la disposition des candidats. De la même façon, l’ensemble des données relatives aux contrats conclus dans le cadre des marchés publics doit être libre d’accès, pour une durée de cinq années au moins après la fin de l’exécution, et dans un format de téléchargement universel (XML ou JSON). Cette obligation ne concerne pas les données sensibles qui pourraient porter atteinte à l’ordre public ou à la sécurité.

Tous les échanges électroniques doivent nécessairement passer par ce profil. Notamment pour ce qui est des documents signés numériquement par les opérateurs économiques (signature adossée à l’obtention d’un certificat d’appel d’offres).

Dans certains cas de figure, acheteurs et autorités concédantes peuvent contourner cette exigence. Par exemple, si le besoin est d’une valeur inférieure à 40 000 euros, s’il s’agit d’une consultation lancée par des services sociaux, ou si l’acheteur rencontre des difficultés à mettre en place ou à utiliser les moyens de communication exigés.

Du côté des opérateurs économiques : la nécessité de se doter d’un certificat d’appel d’offres

Du côté des opérateurs économiques : la nécessité de se doter d’un certificat d’appel d’offres

Dans la logique de la dématérialisation des processus de marchés publics, les entreprises qui souhaitent répondre doivent le faire électroniquement. La loi du 1er octobre 2018 impose aux opérateurs économiques l’obligation de transmettre leurs candidatures par la voie digitale. De fait, les offres émises en version papier risquent d’être considérées comme irrégulières, tout comme elles le sont actuellement dans le cadre d’appels d’offres dématérialisés en l’absence d’une signature électronique valable.

Naturellement, la question de la validité des documents se pose. Comment certifier qu’un signataire de marché public a donné son consentement ? L’arrêté d’avril 2018, qui abroge celui de juin 2012 relatif à la signature électronique, apporte déjà une réponse en définissant les modalités d’utilisation de la signature et du certificat afférent :

  • Le certificat d’appel d’offres doit être délivré par un Tiers de Confiance, par exemple une Autorité de Certification comme CertEurope, ou par un prestataire de service de confiance qualifié (selon les termes de eIDAS).
  • La signature électronique doit être apposée à l’aide d’un parapheur digital.
  • La validité de la signature électronique passe par l’authentification de l’identité du signataire, gage de confiance.

Ces exigences s’appliquent pour toute réponse à un marché public lorsque la signature électronique, adossée à un certificat d’appel d’offres, est requise (donc à compter du 1er octobre).

Enfin, il ne faut pas oublier que le reste du processus d’exécution est également dématérialisé. Cela concerne notamment la facturation électronique, déjà imposée aux autorités publiques, aux grandes entreprises et aux sociétés de taille intermédiaire. Et bientôt étendue aux PME, puis aux microentreprises.

La préparation au changement, c’est maintenant. Vous devrez vous conformer aux obligations relatives à la dématérialisation des marchés publics. Et, pour cela, être en mesure de signer électroniquement vos documents, demandez d’ores et déjà votre certificat d’appel d’offres à une Autorité de Certification, ou assurez-vous d’avoir en votre possession un certificat qualifié pour les commandes publiques.

Certificat RGS**/eIDAS

Un certificat multi-usage :

  • Conforme RGS (Référentiel Général
    de Sécurité)
  • Conforme eIDAS (règlement européen)

Cas d’usages :

  • Authentification aux plateformes publiques et aux applications en ligne
  • Signature électronique
  • Chiffrement pour garantir un haut niveau de sécurité
Commander un certificat

Certificat RGS**/eIDAS

Un certificat multi-usage :

  • Conforme RGS (Référentiel Général
    de Sécurité)
  • Conforme eIDAS (règlement européen)

 

Cas d’usages :

  • Authentification aux plateformes publiques et aux applications en ligne
  • Signature électronique
  • Chiffrement pour garantir un haut niveau de sécurité
Commander un certificat

Les différents certificats SSL à connaître pour demander un niveau de certification adapté

SOMMAIRE
  • SOMMAIRE

Les différents certificats SSL à connaître pour demander un niveau de certification adapté

Certificat SSL : quel type de certificat choisir pour son entreprise ?

Certificat SSL : quel type de certificat choisir pour son entreprise ?

Une connexion web est sécurisée ou elle ne l’est pas. Les échanges de données sont cryptés ou ils ne le sont pas. Mais alors, pourquoi existe-t-il plusieurs types de certificats numériques ? En effet : pour activer le protocole SSL (désormais TLS) sur votre site web d’entreprise, vous devez obtenir un certificat SSL délivré par une Autorité de Certification (AC) comme CertEurope. Or, en fonction de vos besoins, le niveau de sécurisation de votre connexion ne sera pas le même. Quels sont les différents certificats accessibles et comment choisir le bon en vue d’afficher le fameux cadenas de sécurité dans votre adresse URL ?

Pourquoi proposer plusieurs certificats numériques ?

Pourquoi proposer plusieurs certificats numériques ?

L’activation d’un certificat SSL (ou d’un certificat TLS, puisqu’il s’agit de la même chose) garantit une connexion sécurisée entre l’internaute et votre site web, grâce à un système de chiffrement des données.

Mais, dans sa version de base, il ne fait « que » cela : chiffrer les informations échangées pour éviter toute interception par un tiers malveillant. Il ne donne aucune indication quant à l’identité du propriétaire, qui peut être lui-même malintentionné (dans le cas du « phishing », par exemple). Pour assurer un niveau de protection plus élevé, il faut installer un certificat SSL permettant d’authentifier l’entreprise qui possède et gère le site.

Pour cette raison, il existe plusieurs niveaux de certification. Donc plusieurs types de certificats SSL. Voyons quels sont les trois principaux.

Trois certificats SSL, trois niveaux de sécurité : OV, EV, DV

Trois certificats SSL, trois niveaux de sécurité : OV, EV, DV

Le certificat SSL à validation de domaine (DV)*

C’est le niveau de sécurisation basique. Pratique, si vous voulez simplement passer votre site web en HTTPS sans fournir trop d’informations à l’Autorité de Certification ni puiser trop abondamment dans votre trésorerie. Rien de plus simple : pour obtenir un certificat SSL DV (domain validation), il suffit d’être propriétaire du nom de domaine.

L’AC s’assure que vous donniez votre accord en vue de l’émission d’un certificat SSL en tant que titulaire du nom de domaine. Cela fonctionne comme la validation d’une adresse mail lors d’une inscription sur un site web : l’Autorité vous envoie un mail d’approbation, vous cliquez sur le lien, et le tour est joué.

Avec ce type de certificat SSL, le cadenas apparaît suite à l’activation du protocole HTTPS. Mais votre identité n’est pas vérifiée, ni affichée dans la barre d’adresse.

Le certificat SSL à validation d’organisation (OV)

Le certificat SSL OV (organization validation) propose un niveau de sécurité plus poussé, puisqu’il oblige le propriétaire du nom de domaine à être également celui de l’entreprise qui fait la demande. Car, non, ce n’est pas toujours le cas !

Prenez l’exemple de l’entreprise Lambda. Quelqu’un peut demander un certificat SSL DV afin de sécuriser la connexion sur le nom de domaine « lambda.fr », sans pour autant être le propriétaire de la société idoine. Dans le cadre d’une certification à validation d’organisation, l’AC va s’assurer que le propriétaire de l’entreprise est bien celui qui fait la demande, en le contactant directement par le biais des coordonnées trouvées sur les plateformes officielles (Infogreffe, Insee…). La vérification prend environ deux jours.

Une fois le protocole HTTPS activé, l’affichage dans votre barre d’adresse est identique à celui d’une certification à validation de domaine. À une différence près : l’internaute peut consulter votre raison sociale à l’intérieur du certificat SSL.

Le certificat SSL à validation étendue (EV)

Si vous cherchez le niveau de certification le plus élevé, c’est du côté du certificat SSL EV (extended validation) qu’il faut regarder.

Ici, l’AC ne se contente pas de prendre contact avec le demandeur pour vérifier qu’il est bien propriétaire de l’entreprise affiliée au nom de domaine. Elle effectue des vérifications poussées quant à l’existence légale de l’entité et l’exactitude des informations exigées (celles-ci pouvant varier en fonction de l’Autorité contactée). Ce type de certificat est principalement utilisé par les plateformes souhaitant sécuriser des transactions à partir de données bancaires, comme les sites e-commerce, les banques ou les administrations.

Ce certificat numérique se porte garant de la fiabilité de l’entreprise. La raison sociale (voire le nom commercial) de celle-ci, ainsi que son pays d’origine, apparaissent dans la barre d’adresse, en vert. Ces informations viennent s’ajouter au cadenas de sécurité et à la mention HTTPS.

*Pas fourni par CertEurope.

Définissez vos besoins pour faire le bon choix entre les certificats SSL OV, EV ou DV

Définissez vos besoins pour faire le bon choix entre les certificats SSL OV, EV ou DV

Ces trois types de certificats numériques permettent d’activer le HTTPS sur votre site. Mais chacun répond à des besoins différents.

D’un côté, il y a les entreprises qui veulent simplement assurer la sécurité des échanges à travers une certification basique (certificat SSL DV). De l’autre, celles qui souhaitent, en plus, prouver leur légitimité et créer un socle de confiance : deux objectifs qui ne sont accessibles qu’à travers un certificat SSL OV ou EV.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Commander un certificat

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Commander un certificat
Icona Top