Différentes signatures électroniques pour différents niveaux de confiance

La date de publication : 30.03.2023

Différentes signatures électroniques pour différents niveaux de confiance

Vous recherchez une solution de signature électronique pour pouvoir signer ou faire signer plusieurs documents par vos collaborateurs, clients ou fournisseurs ? Mais laquelle ? Saviez-vous qu’il existe trois différentes sortes de signature électronique ? Ce qui les différencie, c’est leur niveau de gestion des risques. Mais alors, quelle signature choisir selon quel contexte ? Et, en fait, qu’est-ce qu’une signature électronique ? On vous explique tout.

Définition

La signature électronique est un procédé technique qui permet de dématérialiser une signature tout en lui conférant une valeur légale. Elle permet d’apporter confiance et sécurité dans les échanges numériques.

Elle n’est pas à confondre avec une signature manuscrite scannée, qui ne constitue pas une preuve de consentement et ne peut donc pas remplacer la signature électronique.

Les avantages d’une signature électronique

Dans le monde professionnel, la signature de documents est une tâche courante et contraignante, mais nécessaire. Mais quels sont les avantages de la signature électronique par rapport à la signature manuscrite ? Tout d’abord, elle est plus rapide et plus efficace. Avec la signature électronique, les signataires peuvent signer et envoyer en validation un document électronique en quelques clics, cela évite un long process, qui pourrait être le suivant :

Impression – signature manuelle – scan – envoi
Réimpression – deuxième signature – etc

Avec la signature électronique il est possible de signer des documents à distance et d’automatiser les workflows de signature, ce qui évite les déplacements physiques et permet un gain de temps considérable.

En outre, les documents signés électroniquement sont stockés de manière sécurisée et peuvent être archivés numériquement pendant des années, tout en ayant une valeur légale.

Malgré son utilisation historique, la signature manuscrite présente des contraintes importantes : elle engendre par exemple des délais de validation plus importants en fonction de la localisation des signataires. Nous allons justement vous en parler ci-dessous.

Une signature simple pour les situations à risque faible

La signature simple suffit pour des échanges avec peu de risques et les situations hors cadres réglementaires : il est impossible de l’utiliser en droit des sociétés par exemple. Le règlement eIDAS n’impose aucune réglementation sur ce format.

Elle peut être utilisée pour des contrats d’adhésion, de bail, des contrats de travail, des devis, des états des lieux (d’entrée et de sortie), des approbations internes…

La signature électronique avancée : pour une sécurité (presque) parfaite

Une signature électronique avancée satisfait aux exigences réglementaires eIDAS, notamment :

Elle permet d’identifier le signataire et elle lui est liée de manière univoque
Elle a été créée à l’aide d’un dispositif cryptographique de signature sous son contrôle exclusif, de telle sorte que toute modification ultérieure des données soit détectable.

Pour effectuer une signature avancée, le signataire doit être authentifié à l’aide d’un moyen d’authentification à un facteur, comme par exemple un code OTP (one time password) par sms, une authentification biométrique sur téléphone, ou autre.

De plus, grâce à un contrôle d’intégrité, à un horodatage et un archivage à valeur probante, la signature électronique avancée offre une bien plus grande fiabilité que la signature simple.

Par exemple, l’archivage à valeur probante permet de conserver des documents signés sur le long terme, de manière fiable (garantie de l’authenticité dans le temps).

Les signatures électroniques utilisent des procédés cryptographiques, à base de certificats, qui, dans certains cas (perte, compromission, etc,), peuvent être révoqués afin de pouvoir faire la distinction entre des signatures valides et des signatures révoquées. Il est nécessaire d’horodater préalablement les signatures avec un horodatage fiable, qui attestera de l’antériorité de la signature, pour vérifier qu’elle ait bien été effectuée avec un certificat valide.

Bien que ce type de signature présente suffisamment de sécurité pour permettre de garantir la validité d’un acte, elle reste toujours soumise à l’appréciation du juge et pourra faire l’œuvre de contestations.

La signature avancée confère une valeur juridique et probante du document et peut être utilisée pour : les contrats de crédit, d’assurance vie, d’épargne, d’ouverture de compte bancaire, pour un compromis de vente…

La signature qualifiée : le plus haut niveau de sécurité

Une signature électronique qualifiée a la même valeur juridique qu’une signature manuscrite.

Pour effectuer une signature électronique qualifiée, vous aurez besoin d’une clé RGS/eIDAS, aussi appelée certificat électronique qualifié sur support cryptographique, également qualifié, délivrée après d’une Autorité de Certification qualifiée, comme CertEurope.

Le certificat est délivré suite à une vérification de l’identité en face à face ou à un équivalent juridique : PVID qualifié, moyen d’identification élevé…. En effet, après activation, il pourra être utilisé grâce à un code d’activation à usage strictement personnel.

L’objectif de la signature qualifiée est d’empêcher l’utilisation abusive ou l’altération de l’identité. Cette signature n’est pas contestable et est reconnue juridiquement dans tous les états membres européens.

Les usages peuvent être variés : contrats de vente, accords de confidentialité etc.

La plateforme de signature

Avec des certificats de signature, vous pourrez signer un grand nombre de formats : PDF, Word, Excel… Comment ? A l’aide d’une plateforme de signature, comme GoSign (disponible en version gratuite également) qui vous donne la possibilité non seulement de signer, mais également de créer des workflows de signatures, de suivre les validations, de gérer les relances etc. pour une signature simple, avancée ou qualifiée.

En savoir plus sur les certifications et qualifications de CertEurope, Autorité de Certification et prestataire de services de confiance qualifiée eIDAS -> ici

Plateforme de signature électronique GoSign

Utilisez un outil unique pour signer, horodater et vérifier vos documents. Selon le processus en question et le niveau de confiance requis, choisissez la solution de signature électronique qui convient le mieux : signature simple, avancée ou qualifiée.

Plateforme de signature électronique GoSign

Qu’est-ce qu’un certificat x509 et quel est son rôle dans le cadre du protocole SSL ?

Élections municipales : comment obtenir un certificat électronique pour les maires ?

La sécurité informatique au sein de l’administration publique s’est largement renforcée ces dernières années, faisant naître ainsi la problématique de l’obtention de certificats électroniques pour les nouveaux maires. Les élections municipales c’est aussi, pour les nouveaux élus, l’obligation d’obtenir un certificat électronique et donc d’une identité numérique. On vous explique le pourquoi du comment.

Obtenir un certificat électronique. Pourquoi est-ce obligatoire pour les maires ?

Le certificat électronique est l’équivalent d’une carte d’identité aussi appelé certificat numérique ou de clé publique. Il permet d’identifier une personne et de l’authentifier (donner son identité et le prouver). Le certificat électronique se présente sous la forme d’une clé USB personnelle, servant à apporter la preuve d’une identité en ligne lors, notamment, de la signature d’un document informatique engageant la mairie. Cette authentification forte, offre ainsi une sécurité contre tout risque d’usurpation. Son utilisation est indispensable notamment dans l’administration publique.

La loi du 7 août 2015 rend obligatoire le raccordement au système d’information ACTES, et donc l’envoi dématérialisé pour toutes les collectivités. La législation laissait une période de 5 ans pour que l’obligation soit réellement effective, soit jusqu’au 7 août 2020. Les régions, les départements, les communes de plus de 50000 habitants ainsi que les établissements publics de coopération intercommunales télétransmettent déjà. Le passage à l’identité numérique des plus petites communes paraît de ce fait, inévitable. Obtenir un certificat électronique est donc un passage obligé pour les maires.

Se raccorder à ACTES nécessite plusieurs étapes :

Prise de contact avec sa préfecture de rattachement pour étudier les modalités de raccordement
Prendre une délibération autorisant l’exécutif à signer avec le représentant de l’Etat une convention pour la transmission dématérialisée des actes soumis au contrôle de légalité.
Choisir un opérateur de transmission homologué par le ministère de l’Intérieur
Obtenir des certificats électroniques RGS** pour les agents chargés de la transmission des actes
Signer une convention avec le préfet du département

La certification électronique : quelle utilité pour les maires et dans quel cadre ?

Un partenaire de confiance numérique au service du développement

Le certificat électronique permet aux maires de confirmer leur identité de manière sécurisée. Ils en ont l’utilité dans l’exercice de leur fonction en particulier sur le système d’information ACTES, permettant de transmettre aux représentants de l’Etat, par voie électronique, les actes soumis au contrôle de légalité et à la comptabilité. Dans ce cadre, les certificats électroniques sont à commander auprès d’une autorité de certification telle que CertEurope, conforme aux exigences de l’ANSSI (Agence Nationale de la Sécurité et des Systèmes d’Information). Cet organisme accompagne entreprises et administrations telles que les mairies dans le choix de leur solution de sécurité. Un label de confiance créé par l’ANSSI est attribué aux produits et entreprises fournissant un service de gestion de la donnée sensible.

Les clés fournies, appelées aussi clés cryptographiques sont de type RGS** (RGS 2 étoiles, pour Règlement Général de Sécurité), correspondant à un niveau de sécurité très élevé. Elles sont remises en face à face aux maires par une autorité légitime afin de vérifier son identité.

Après les élections municipales, afin d’éviter tout danger de faux en écriture publique, la clé du maire sortant est révoquée, interdisant ainsi son utilisation. L’administration publique se doit néanmoins d’assurer la continuité du contrôle de légalité dématérialisé.

Quelques cas pratiques décryptés en fonction de l’issue des élections :

Si le maire sortant est réélu et qu’il dispose déjà d’un certificat électronique, il peut continuer à l’utiliser pour le dépôt d’acte.
Le maire sortant n’est pas réélu. Un agent de la collectivité doit avoir un certificat électronique pour assurer la continuité du contrôle de légalité. Une commande de certificat devra être effectuée pour le nouveau maire.
Si des agents de la collectivité, en dehors du maire disposent de certificats électroniques, ils peuvent télétransmettre avant, pendant et après les élections.

Comment assurer la continuité du dépôt d’actes grâce au certificat électronique en période d’élection ?

Afin d’assurer la télétransmission des actes pendant et après les élections, les mairies doivent obtenir un certificat électronique au nom d’un agent de la collectivité pouvant télétransmettre sur ACTES. Dans le cas où le maire sortant n’est pas réélu, l’agent pourra continuer à mettre en œuvre le contrôle de légalité, au moins le temps de la création d’un certificat électronique pour le maire nouvellement élu.

Notez en fin qu’en cas d’urgence, en vue d’assurer les délibérations et la comptabilité sur la plateforme ACTES dans les plus brefs délais, il est possible d’obtenir un certificat électronique RGS** sous 1 jour ouvré grâce à des offres plus avantageuses comme celles de CertEurope.

Les élections municipales sont donc l’occasion idéale pour les collectivités françaises de mieux protéger l’identité numérique des élus.

Tout savoir au sujet du contrat électronique

Le guide pour dématérialiser vos contrats

Vous rédigez toujours vos contrats sur papier ? Il est temps de prendre le train de la modernité en marche et de dématérialiser entièrement vos pratiques contractuelles – avec, à la clé, de nombreux bénéfices.

Mais avant de vous lancer, il est essentiel de prendre connaissance des règles juridiques qui entourent ces pratiques nouvelles. Quelles sont les modalités qui régissent l’établissement d’un contrat électronique ? Et quels avantages pourrez-vous tirer de la dématérialisation de vos contrats ?

Comment fonctionne le contrat électronique ?

Naturellement, un contrat électronique est avant tout un contrat. Il est donc soumis aux mêmes modalités de fonctionnement que son équivalent papier. À ces règles viennent toutefois s’en ajouter de nouvelles, formant un cadre réglementaire dédié (issu de la « loi pour la confiance dans l’économie numérique » du 21 juin 2004, disponible ici). En voici les grandes lignes.

Les conditions de validité

Tout contrat électronique doit respecter les conditions de validité d’un contrat papier, à savoir :

Le consentement des parties, qui doit être exempt de vices et donner lieu à une validation par le biais du « double clic ». Dans le cadre du RGPD, ce consentement doit aussi être explicite, éclairé et libre.
La capacité: seule peut contracter une personne en pleine capacité.
L’objet et la cause : la prestation indiquée dans le contrat électronique et les raisons qui poussent les parties à contracter doivent être légales et ne pas contrevenir à l’ordre public.

En matière de validité de l’acte, la loi de 2004 affirme l’équivalence entre le support papier et le support électronique pour tout ce qui touche à l’écrit dans le cadre d’une contractualisation électronique. Mais cela, à condition que la personne dont émane le contrat soit facilement identifiable, et que le document soit conservé dans de bonnes conditions (de manière à garantir son intégrité).

Les modalités de conclusion du contrat

Votre contrat électronique doit également :

Énoncer les étapes à suivre pour le conclure ;
Indiquer les moyens de relever et de corriger les éventuelles erreurs ;
Être établi en langue française (en plus de tout autre idiome de votre choix) ;
Renvoyer aux règles professionnelles et commerciales auxquelles vous entendez vous soumettre via ce contrat (toujours par voie électronique) ;
Préciser les modalités de conservation et d’archivage du contrat, ainsi que les possibilités offertes aux contractants d’accéder à ce document par la suite ;
Être établi en deux exemplaires datés et signés, un pour chaque signataire.

La signature électronique pour valider un contrat dématérialisé

Tout acte juridique, pour être validé, nécessite une signature. Pour vos documents dématérialisés, et notamment pour vos contrats, vous devez créer une signature électronique qui permette de vous identifier. Une fois apposée sur un contrat numérique, celle-ci manifeste votre consentement aux obligations qui découlent de l’acte en question – tout comme celui des autres signataires.

L’envoi du contrat électronique

L'envoi du contrat électronique

Qui dit contrat électronique, dit envoi dématérialisé. Quel serait l’intérêt d’établir un acte en ligne pour le transmettre par courrier postal ? La loi stipule donc que vous pouvez utiliser la voie électronique pour toute transaction contractuelle, et par exemple adresser un contrat à un client ou un partenaire par email dès lors qu’il vous a donné son accord – et communiqué son adresse électronique.

La particularité du contrat dématérialisé

Terminons cette présentation avec l’une des spécificités les plus notables du contrat électronique : puisque celui-ci est établi sous forme numérique, sans modèle papier préexistant, toutes les copies créées deviennent des originaux !

Pourquoi passer au contrat électronique ?

Vous voyez, le contrat électronique, ce n’est pas si compliqué ! Et passer au tout-dématérialisé peut vous apporter quantité de bénéfices directs et indirects. Vous avez encore des doutes ? Bouclons ce guide du contrat numérique en vous présentant ses cinq atouts majeurs.
Une productivité accrue
C’est l’atout numéro un : plus vos équipes passent de temps à établir des contrats, à les vérifier, à les faire signer en interne, à faire la navette entre les différents services, puis à les transmettre aux destinataires avant de les numériser pour l’archivage (un comble !), moins elles en ont pour prendre en charge des tâches autrement plus essentielles. Un contrat papier demande une demi-heure de travail, à tout le moins. Un contrat électronique se crée, se signe et s’envoie en trois minutes.
Un processus accéléré
Combien de fois un contrat émis par vos soins est-il arrivé chez le destinataire après la date prévue pour son entrée en vigueur ? À l’heure de l’immédiateté permise par le web, c’est presque une faute morale. Opter pour le format électronique vous permet d’accélérer le processus de contractualisation pour passer de deux semaines (en moyenne) à quelques heures tout au plus.
Des échanges fiabilisés et sécurisés
Connaissez-vous le taux de perte d’un document électronique ? Il est égal à zéro. Dans le pire des cas, le mail n’a pas été reçu… Et il suffit de le renvoyer ! Le contrat numérique est donc la meilleure façon de garantir la fiabilité des échanges, à l’inverse du format papier qui n’est jamais sûr d’arriver. Mais aussi leur traçabilité (vous savez qui a fait quoi, et quand) et leur sécurité (vous définissez les règles d’accès aux documents en fonction des profils utilisateurs).
Un meilleur suivi du cycle de vie du contrat
Un retard de signature ? Une mention à corriger ? Avant, le temps nécessaire au traitement des petits soucis de contractualisation se comptait en jours (perdus). Aujourd’hui, avec le contrat électronique, le suivi du cycle de vie se fait en ligne, en toute simplicité et de façon instantanée : vous recevez alertes et notifications en cas de problème, et l’option de verrouillage du document vous permet d’éviter les ajouts de dernière seconde non désirés.
Des coûts de gestion réduits
Enfin, dernier atout majeur, et non des moindres : vous éliminez toute une série de frais inévitables dans le cadre d’une contractualisation papier. Pas d’impression, pas d’envoi postal, pas de transport, pas d’archivage physique – vous n’avez qu’à prendre en charge les coûts des logiciels et de la création d’une signature électronique, soit uniquement des dépenses ponctuelles. À la fin de l’année, vous pouvez faire le calcul des économies réalisées… Et vous féliciter de votre choix !
Alors, qu’attendez-vous pour passer au contrat électronique ?

Certification PVID : un référentiel rigoureux pour réduire les risques d’usurpation de l’identité numérique

Comment s’assurer de la fiabilité des services de vérification d’identité à distance ? La question se pose avec d’autant plus d’acuité que la crise sanitaire a accéléré la digitalisation des services et le recours à des services en ligne (publics ou privés) qui nécessitent le contrôle de l’identité numérique des personnes souhaitant y accéder. Pour répondre à ces enjeux sécuritaires, l’ANSSI s’est retroussé les manches pour élaborer un référentiel d’exigences permettant d’identifier les prestataires de vérification d’identité à distance (PVID) offrant un niveau de garantie « substantiel » ou « élevé ». Comment fonctionne ce référentiel ? Comment un prestataire peut-il obtenir cette certification ? Et quels sont ses usages ?

Certification PVID : un référentiel d’exigences pour les prestataires de services de vérification de l’identité numérique

PVID : un référentiel d’exigences pour les prestataires de services de vérification de l’identité numérique

Le PVID est un « visa de sécurité » qui prend la forme d’un référentiel d’exigences à remplir. Établi par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en mars 2021, il permet au grand public d’identifier les prestataires de services de vérification d’identité à distance qui présentent un niveau de garantie suffisant pour assurer la protection de l’identité numérique des utilisateurs. Donnant lieu à une certification, ce référentiel atteste que les prestataires en question ont mis en œuvre les mesures visant à réduire les risques de fraude.

Quels risques ? Parce que le processus de vérification d’identité est identique à distance comme en face-à-face, il présente a priori les mêmes vulnérabilités – le risque premier étant l’usurpation d’identité. Or, en réalité, ce risque est plus grand lorsqu’il touche à l’identité numérique, en raison du nombre plus important de leviers de fraude : falsification ou contrefaçon des documents, masques physiques, deepfakes, tentatives répétées d’usurpation… Autant de raisons qui font que l’identité numérique doit être vérifiée avec une plus grande rigueur, en s’assurant de l’authenticité du titre d’identité et de la légitimité du détenteur à le posséder.

De plus en plus d’opérateurs proposent des services de vérification d’identité à distance, et le recours à ces services ne fait qu’augmenter. L’objectif de l’ANSSI, avec le PVID, est donc de mettre en lumière les solutions qui offrent le plus de garanties. À ce titre, le référentiel prévoit deux niveaux de sécurité en fonction du besoin :

le niveau « substantiel » (fiabilité similaire à une vérification en face-à-face : le prestataire doit considérer les attaquants disposant d’un potentiel modéré),
et le niveau « élevé » (fiabilité équivalente à la délivrance d’un titre d’identité auprès d’une autorité compétente : le prestataire doit considérer les attaquants disposant d’un potentiel élevé).

Un référentiel rigoureux encadré par un processus de certification strict

L’attribution de la certification PVID n’est pas automatique : il revient aux prestataires spécialisés dans les services de contrôle de l’identité numérique de déposer une demande d’évaluation auprès de l’ANSSI. Un certain nombre d’organismes ont d’ores et déjà été habilités pour qualifier des prestataires au titre du référentiel général de sécurité (RGS), la liste étant disponible sur le site de l’ANSSI.

Le référentiel PVID relatif à l’identité numérique se décline en trois axes :

Les activités associées à un service de vérification d’identité à distance.
Les méthodes d’évaluation de la qualification des prestataires.
Les exigences à respecter par le prestataire pour recevoir la certification PVID.

De façon plus concrète, la certification proposée par l’ANSSI consiste à évaluer la robustesse des solutions de contrôle de l’identité numérique portées par les prestataires. Cette évaluation passe par l’analyse de la conformité, puis par l’organisation de tests « grandeur nature » de résistance aux tentatives d’usurpation d’identité : détection de faux documents (titres d’identité contrefaits ou falsifiés), reconnaissance faciale, masques physiques, etc. Certains de ces tests sont menés en collaboration avec le ministère de l’Intérieur, notamment ceux qui touchent à la validité des documents.

Quels sont les usages du référentiel PVID ?

Le référentiel mis en place par l’ANSSI a pour but principal de lutter contre la fraude à l’identité numérique et, ce faisant, de protéger les personnes qui ont recours à des services publics et privés en ligne qui nécessitent la vérification de leur identité.

Ces services recouvrent les procédures de création d’une identité numérique (comme un certificat électronique), les ouvertures de comptes clients à distance auprès d’opérateurs bancaires ou assurantiels, les envois de courriers recommandés en ligne, ou encore la signature électronique. Sans compter ceux qui verront le jour dans les années à venir.

Au regard des risques cyber (chaque jour plus nombreux et plus sophistiqués), la sécurité est l’incontournable pilier sur lequel va se bâtir la démocratisation progressive de ces services. Or, à mesure que la demande grandit sur le marché, les problématiques de confiance deviennent toujours plus aiguës et complexes, ce qui confère aux prestataires de vérification de l’identité numérique un rôle essentiel… et désormais validé par la certification PVID.

Portail Chorus Pro, Europe, marchés publics : où en est la facture électronique ?

En 2013 déjà, la Commission européenne affirmait que l’adoption de la facturation électronique dans le cadre des marchés publics dans l’ensemble de l’Union européenne pourrait générer jusqu’à 2.3 milliards d’euros d’économies. Mais les économies ne sont qu’un des bénéfices de cette solution. En France avec le portail Chorus Pro et en Europe, l’heure est à la dématérialisation des factures et les bénéfices qui en découlent sont nombreux.

Productivité, gain de temps, garantie d’intégrité, transparence, protection de l’environnement… Non seulement la facture électronique est simple à mettre en place mais en plus les bénéfices sont évidents.

L’accélération de l’usage de la facture électronique, dans les relations entre l’Etat, les collectivités territoriales et les établissements publics avec leurs fournisseurs, est identifiée par tous les acteurs comme une mesure essentielle de simplification en faveur des entreprises. La dématérialisation de ces échanges est en effet de nature à alléger la charge administrative pesant sur les opérateurs économiques, tout en facilitant les travaux des administrations.

Chorus Pro, Facture électronique : une tendance qui se confirme

En 2010, la Commission européenne plaidait pour une généralisation de la facturation électronique. Selon elle, ce mode de facturation devait permette aux entreprises de raccourcir les délais de paiement, de réduire les risques d’erreur et de diminuer les frais d’impression et d’envoi. Neuf ans plus tard, la dématérialisation est devenue une véritable tendance. Selon l’EESPA (Europe E-invoicing Service Providers Association), l’utilisation de la facture électronique a progressé de 23% en 2017.

La dématérialisation encouragée au niveau européen

En 2014, les membres de l’Union Européenne ont adopté de nouvelles lois sur les marchés publics. En parallèle, ils ont adopté une loi destinée à encourager les contractants européens à mettre en place la facturation électronique pour la livraison de travaux ou de biens au secteur public. Depuis le 17 avril 2019, et conformément à la directive 214/55/UE, les autorités publiques chargées des marchés publics dans l’UE doivent se conformer à la norme européenne en matière de facturation électronique et être en mesure de recevoir et de traiter des factures électroniques en conséquence.

Le texte européen ne contraint cependant pas les organisations publiques à recourir à la facture électronique. En revanche, grâce à cette directive, si une administration publique reçoit une facture électronique, elle n’a d’autre choix que de l’accepter. Quant aux prestataires en relation avec les acteurs publics, ils doivent s’assurer de la conformité de leurs factures électroniques avec les normes établies par la directive.

La directive européenne, précise, dans son article 6, les éléments essentiels d’une facture électronique :

Identifiants de processus et de facture
Période de facturation
Renseignements concernant le vendeur
Informations concernant l’acheteur
Renseignements concernant le payeur
Renseignements concernant le représentant fiscal du vendeur
Référence du contrat
Détail concernant la fourniture
Instructions relatives au paiement
Renseignements concernant les déductions ou frais supplémentaires
Informations concernant les postes figurant sur la facture
Montants totaux de la facture
Répartition par taux de TVA

La France se mobilise en faveur de la facture électronique (Chorus Pro)

La France se mobilise en faveur de la facture électronique

En France, la dématérialisation des factures s’accélère. En effet, la facture électronique s’impose de plus en plus dans les entreprises comme dans les administrations. Depuis 2017, la dématérialisation des factures est de plus en plus répandue au sein des organisations françaises devant demander le paiement de marchés publics. Une plateforme gouvernementale a été mise en place pour gérer le flux de factures : le portail Chorus Pro.

Portail Chorus Pro : des millions de factures traitées chaque année

L’Etat a l’obligation depuis le 1er janvier 2012, d’accepter les factures électroniques émises par ses fournisseurs. Sur les 4 millions de factures reçues chaque année par ses services, seules 34 000 l’ont toutefois été sous forme dématérialisée en 2013. En novembre 2018, le portail Chorus Pro a atteint les trois millions de factures traitées sur ce seul mois. Le nombre de factures dématérialisées a ainsi atteint les 36 millions depuis l’ouverture de la plateforme en juillet 2016.

Une dématérialisation par étapes

En début d’année, une nouvelle catégorie d’entreprises a dû se soumettre à l’ordonnance n°2014-697. Les grandes entreprises (selon la qualification de l’INSEE) et les personnes publiques depuis le 1er janvier 2017, les entreprises de taille intermédiaire (entre 250 et 5000 salariés, chiffre d’affaires inférieur à 1,5 Md€ ou bilan inférieur à 2Md€) depuis le 1er janvier 2018 et les PME (moins de 250 salariés, chiffre d’affaires inférieur à 50M€ ou bilan inférieur à 43M€) ont l’obligation de dématérialiser les factures adressées au secteur public. Au 1er janvier 2020, les micro-entreprises (moins de 10 salariés, chiffre d’affaires ou bilan inférieur à 2M€) seront également concernées.

Afin de faciliter les échanges entre les entreprises et les administrations publiques dans le cadre des demandes de paiement, l’AIFE (Agence pour l’informatique financière de l’Etat) a mis en place le portail Chorus Pro. Mais que savez-vous réellement sur cet outil mis à disposition par l’Etat via l’ordonnance du 26 juin 2014.

Portail Chorus Pro, facture électronique : que faut-il en retenir ?

Toutefois, la DSP 2 accepte des exceptions à l’authentification forte, suivant le niveau de risque, le montant ou la récurrence du paiement. Sont concernés : les opérations à risque faible et/ou à montant faible (moins de 30 €), les paiements par carte professionnelle, les abonnements et les paiements récurrents, les transactions MOTO, les listes blanches et les transactions interrégionales.

Que signifie marché public ?

L’ordonnance n°2015-899 du 23 juillet 2015 définit les marchés publics comme des contrats conclus à titre onéreux par un ou plusieurs acheteurs publics avec un ou plusieurs opérateurs économiques publics ou privés, pour répondre à leurs besoins en matière de travaux, de fournitures ou de services.

Qui sont les acheteurs publics ?

L’Etat, les collectivités territoriales et les établissements publics. D’autres organismes privés créés pour satisfaire des besoins d’intérêt général doivent aussi respecter les règles de passation des marchés publics ?

Quels sont les grands principes auxquels doit obéir la procédure de commande publique ?

Les procédures sont strictement encadrées et doivent obéir à trois grands principes :

Liberté d’accès à la commande publique
Egalité de traitement des candidats
Transparence des procédures

Qui peut se porter candidat à un marché public ?

Dans le respect du principe de libre accès à la commande publique, tout opérateur économique peut se porter candidat à l’attribution d’un marché public, même les micro-entrepreneurs.

Le portail Chorus Pro s’adresse à l’ensemble des acteurs de la commande publique. Côté émetteurs, il s’agit des fournisseurs tant privés que publics qui peuvent désormais transmettre de façon efficace et automatique leur factures à destination de la sphère publique. Ils ont accès à un certain nombre de fonctionnalités :

Dépôt ou saisie d’une facture
Suivi du traitement de leurs factures
Ajout de pièces complémentaires nécessaires au traitement de leurs factures
Consultation des engagements émis par les services de l’Etat

Portail Chorus Pro, facture électronique : CertEurope vous accompagne

Les certificats électroniques proposés par CertEurope sont conformes au référentiel général de sécurité (RGS). Ils permettent aux fournisseurs du secteur public de dématérialiser et de transmettre de façon sécurisée des factures via le portail Chorus Pro. De cette façon, ils sont en mesure de gagner du temps, de réduire les coûts et de simplifier le suivi de leurs factures.

Sur le portail Chorus Pro, il est possible de déposer manuellement, à l’attention des entités publiques, des factures au format PDF texte. En signant au préalable vos factures PDF, avec le certificat électronique RGS**/eIDAS de CertEurope il n’est plus nécessaire de mettre en place une piste d’audit fiable entre la facture émise et la prestation à laquelle elle se rattache. Cet usage convient parfaitement lorsque le nombre de facture à déposer est relativement faible.

En revanche, lorsque vous devez envoyer un nombre important de factures auprès des entités publiques, il est conseillé d’interfacer le portail Chorus Pro à votre outil de gestion de factures. Il sera nécessaire en API Oauth2 de passer par la plateforme PISTE (Plateforme d’Intermédiation des Services pour la Transformation de l’Etat), qui mutualise les services API de l’Etat et de la sphère publique, et qui a pour vocation à devenir un point d’entrée unique. En mode EDI, il faudra vous équiper d’un certificat SSL authentification serveur et/ou authentification serveur client. Le tableau ci-après récapitule le type de certificat nécessaire pour le raccordement que vous désirez.

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Identité numérique : la base de la confiance en ligne

L’identité numérique est au cœur de la confiance dans le cadre des échanges en ligne. Faute de disposer d’une identité forte sur le réseau et des moyens de protéger cette identité, le développement des échanges électroniques et des services de confiance est voué à l’échec. Cette notion est à la base de tous les processus d’authentification et de sécurisation des données – certificat électronique, certificat SSL, signature électronique. L’identité numérique, c’est donc l’incontournable socle sur lequel doit s’édifier la confiance en ligne de votre entreprise.

Qu’est-ce que l’identité numérique ?

Qu'est-ce que l'identité numérique ?

La notion d’identité, au sens administratif, est relativement récente. En France, la carte d’identité nationale est apparue seulement en 1921, mais elle est restée facultative depuis lors (exception faite d’une brève période de temps pendant la Seconde Guerre mondiale), et n’a été généralisée qu’à la toute fin du XXe siècle. En tout état de cause, posséder un justificatif d’identité quel qu’il soit est indispensable pour effectuer la plupart des démarches, comme s’inscrire sur une liste électorale, ouvrir un compte bancaire ou acheter une voiture. L’identité permet à chacun de prouver qui il est dans les circonstances qui nécessitent d’apporter cette preuve, à travers une somme d’informations factuelles.

Cette problématique, transposée au monde digital, se complexifie toujours plus. La définition d’une identité numérique se heurte à nombre d’obstacles, à commencer par l’ampleur des éléments qui la constituent. Globalement, une identité numérique est formée par la somme des traces numériques laissées par un individu ou une entreprise. Ces traces peuvent avoir de multiples sources : les profils (sur les réseaux sociaux, par exemple), les données communiquées, les sites fréquentés, les contenus publiés, les comportements, les opinions déclaratives, etc. Elles peuvent être laissées volontairement ou non, consciemment ou non, et prendre tous les formats possibles, depuis les contenus jusqu’aux identifiants de connexion, en passant par les cookies et l’adresse IP.

Relier l’identité numérique à son propriétaire

Relier l'identité numérique à son propriétaire

Néanmoins, cette définition ne recouvre qu’un seul des aspects de l’identité numérique. Les traces laissées sur le web informent sur ce qu’une entité ou une personne semble être, mais pas sur ce qu’elle est réellement. Dans le contexte de la dématérialisation des services et des formalités administratives, la nuance est importante : quand un internaute achète sur un site e-commerce, quand un acteur commercial signe un contrat avec un autre, ils doivent être certains d’avoir affaire au bon site ou à la bonne entité.

L’essor des échanges électroniques tend à multiplier les risques. Pour une entreprise, la menace d’usurpation d’identité est majeure : elle doit absolument protéger son identité numérique et veiller à ce que ses interlocuteurs, eux aussi, soient vraiment ceux qu’ils prétendent être. L’enjeu, c’est donc de parvenir à relier l’identité numérique à son propriétaire. À faire en sorte que tout le monde puisse faire le lien entre l’identité régalienne (l’entreprise que vous êtes) et son équivalent digital (un certificat ou une signature électronique, par exemple). Cette démarche permet de garantir l’identité du signataire dans tous les cas de figure, qu’il s’agisse de protéger les échanges avec les internautes ou de donner une valeur légale à des documents électroniques.

Le besoin d’une identité numérique sécurisée

Le besoin d'une identité numérique sécurisée

Le développement des échanges en ligne contraint les entreprises à disposer de moyens de s’authentifier numériquement aux yeux du public et de leurs partenaires. « Contraint » est le bon terme : depuis juillet 2016, le règlement eIDAS (electronic Identification, Authentification and trust Services) encadre l’identification électronique et les services de confiance au niveau européen. En imposant un socle sécuritaire commun dans le cadre des échanges de données, eIDAS oblige les entreprises à adopter des processus permettant de garantir leur identité numérique à travers plusieurs niveaux de fiabilité et de sécurité. Le règlement intègre également des exigences quant à la création d’une signature électronique, sur la base d’un certificat numérique délivré par une Autorité de Certification comme CertEurope (voir notre article au sujet d’eIDAS).

La signature électronique, justement, est la clé d’une identité numérique sécurisée. Cautionnée par un certificat électronique, elle protège votre entreprise contre toute tentative d’usurpation d’identité, garantit l’intégrité des documents échangés, et consolide votre présence en ligne. Grâce à cette signature, les démarches de consentement et d’engagement sont limitées au seul porteur du certificat numérique, tandis que le certificat en question sécurise les données échangées via une clé de chiffrement.

De son côté, l’authentification forte (l’utilisation de deux facteurs d’identification) permet aux entreprises de sécuriser leurs accès à leur système d’information depuis n’importe quel support, de façon à protéger des données sensibles ou confidentielles. L’authentification forte est soutenue par l’émission d’un certificat électronique signé par un tiers de confiance.

Enfin, l’obtention d’un certificat électronique intégrant le protocole SSL vise à protéger l’intégrité des données échangées entre un serveur et un client, mais aussi à garantir l’identité du possesseur du certificat (pour des certificats présentant un haut niveau de sécurité : OV ou EV).

L’adoption d’outils fiables de maîtrise de l’identité numérique, à l’image de la signature électronique et du certificat électronique, est donc un préalable indispensable à des échanges électroniques sécurisés. Et un gage de confiance incontournable.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat SSL, SSL, certificat TLS… 5 questions pour tout comprendre

Certificat SSL, TLS… 5 questions pour tout comprendre

Les Français sont de plus en plus connectés : la moitié d’entre eux a l’habitude d’effectuer des achats en ligne, et ils sont 80 % à consulter leurs comptes bancaires depuis des interfaces web. Mais comment assurer la sécurité de leurs données personnelles ? La réponse, c’est le protocole SSL, permettant d’assurer la confidentialité des données échangées entre les internautes et les plateformes web. Voici 5 questions pour tout comprendre au sujet du fameux certificat SSL et de son successeur, le certificat TLS.

Le SSL, c’est quoi ?

Le SSL, c'est quoi ?

Dans certificat SSL, il y a « SSL », abréviation de Secure Socket Layer. Il s’agit d’un protocole permettant de sécuriser les échanges entre un internaute et une plateforme (site web, serveur, application mobile) via le chiffrement des données. Ce protocole, inventé dans les années 90 par Netscape pour Mastercard dans le but de protéger les transactions effectuées en ligne, élimine les risques d’interception « en clair » des données par des personnes tierces. Les informations échangées sont donc cryptées et inaccessibles aux pirates informatiques.

Le protocole SSL a contribué à la sécurisation du web et au développement du commerce en ligne. Utilisé en grande partie pour sécuriser les données confidentielles et les coordonnées bancaires des internautes, et pour garantir leur intégrité, le SSL est également une méthode d’ « authentification forte ». À travers un certificat SSL, l’utilisateur peut s’assurer de l’identité du serveur avec lequel il communique.

Comment fonctionne un certificat SSL ?

Le certificat SSL est donc un certificat électronique qui intègre le protocole SSL. Il atteste du lien entre l’identité numérique et l’identité physique d’une personne ou d’une entreprise. Et garantit ainsi la confidentialité des données échangées entre le serveur et les internautes, par le biais d’une clé cryptographique.

Installé sur un serveur, le certificat SSL autorise des connexions sécurisées sur le navigateur. Celles-ci sont signalées par la présence du protocole HTTPS dans l’URL du serveur, et par l’affichage d’un cadenas de sécurité dans la barre d’adresse (à gauche ou à droite, en fonction des navigateurs).

Ce certificat de site web assure-t-il la sécurité des utilisateurs ?

Au départ, le certificat SSL est destiné à la sécurisation des données sensibles, essentiellement dans le cadre des paiements en ligne. Par la suite, le SSL s’est imposé comme la norme pour protéger l’accès aux comptes utilisateurs, l’envoi de documents dématérialisés ou les déclarations fiscales (entre autres). Même les réseaux sociaux ont adopté le protocole SSL : vous pouvez constater, en vous connectant sur Facebook, Twitter ou LinkedIn, que ces plateformes affichent bien le protocole HTTPS et le fameux cadenas.

Un certificat SSL permet ainsi de faire la distinction entre un site sécurisé et légitime, et un site mal protégé, voire malveillant, par exemple dans un cas de « phishing » (une forme d’attaque consistant à imiter une page web pour convaincre un internaute de livrer des informations confidentielles).

Toutefois, il ne faut pas oublier une chose : le SSL signifie que les données sont protégées par un chiffrement. Ce qui n’empêche nullement un pirate informatique d’acheter un certificat SSL à faible niveau de sécurité (un certificat DV, par exemple, est délivré au propriétaire d’un nom de domaine, sans plus de vérifications) afin d’afficher HTTPS et cadenas. Les données sont effectivement chiffrées, mais l’internaute n’est pas protégé pour autant.

Pour garantir une protection optimale, il est nécessaire d’installer un certificat SSL offrant un haut niveau de sécurisation, permettant de garantir l’identité de l’entreprise propriétaire et gestionnaire du site. C’est le cas des certificats à validation d’organisation ou à validation étendue.

Comment obtenir un certificat SSL ?

Un certificat SSL suppose une vérification préalable, dont la teneur est fonction du niveau de sécurisation demandée. Une entreprise qui souhaite adopter le protocole SSL doit s’adresser à une Autorité de Certification (AC), seule habilitée à fournir le certificat en question, de la même façon que seuls les services administratifs compétents sont en mesure de délivrer une carte d’identité ou un passeport. Les Autorités de Certification sont nombreuses, et CertEurope est l’une d’entre elles. Selon les AC, le niveau de fiabilité des procédures de vérification et d’émission des certificats diffère.
Notez qu’il est également possible de passer par des intermédiaires (les fournisseurs de certificats SSL) qui travaillent avec ces autorités.

Quelle différence entre un certificat SSL et un certificat TLS ?

Afin d’intégrer des algorithmes de chiffrement plus précis et plus robustes, et ainsi faire face aux évolutions des problématiques de sécurité, le SSL a connu des versions successives… Jusqu’à se transformer en TLS (Transport Layer Security).
Le protocole TLS est donc le successeur du SSL. L’arrivée du TLS en 1999 n’a pas mis au rebut les protocoles précédents (SSL 2.0 et 3.0), mais ceux-ci ont été progressivement désapprouvés par les autorités. Conséquence : un site web qui utilise un protocole trop ancien n’offre pas une expérience utilisateur sécurisée, et voit son préfixe HTTPS barré en guise d’avertissement aux internautes. Le TLS est donc le protocole en vigueur.
Pour autant, il faut savoir que protocole et certificat sont deux choses différentes – et indépendantes l’une de l’autre. Si le protocole TLS s’est imposé, on parle toujours de « SSL » par convention. Ce qui veut dire qu’un certificat SSL et un certificat TLS sont une seule et même chose.
Vous n’avez donc pas besoin de vous précipiter auprès de votre autorité compétente pour acheter un certificat TLS, dès lors que vous en possédez déjà un en version SSL !

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Comment utiliser la plateforme de déclaration Synapse ?

Si vous êtes fabricant, vendeur, importateur, responsable de la mise sur le marché ou utilisateur de produits chimiques ou de préparations à risques, la plateforme de déclaration en ligne Synapse ne vous est sans doute pas inconnue. Dans le cadre de vos activités, vous êtes tenu de déclarer certains de ces produits, à des fins d’évaluation et de prévention des risques, auprès des organismes agréés. Comment fonctionne cette plateforme ? Quelles sont les étapes à suivre pour effectuer une déclaration sur Synapse ? Et pourquoi faut-il absolument être en possession d’un certificat RGS pour accéder à ce portail ?

Synapse, c’est quoi ?

Synapse, c'est quoi ?

La plateforme de déclaration Synapse est un outil mis en place conjointement par l’INRS (Institut national de recherche et de sécurité) et les CAPTV (Centres antipoison et de toxico-vigilance français). Accessible et utilisable en ligne, elle permet aux industriels qui vendent des produits chimiques et des préparations de les déclarer de façon simple et sécurisée, par le biais d’une interface dynamique. Le but ? Évaluer le niveau de risque présenté par ces substances et prévenir les éventuels risques toxicologiques.

Cette obligation s’applique :

Aux produits classés dangereux, en fonction de leur classification.
Aux produits phytopharmaceutiques (destinés à protéger les végétaux et à combattre les organismes nuisibles qui s’en prennent à eux).
Aux produits biocides (destinés à détruire ou repousser les nuisibles : désinfectants, produits de protection, substances permettant de lutter contre les nuisibles, etc.).
Aux produits classés dangereux considérés comme « nouveaux », c’est-à-dire mis sur le marché pour la première fois, issus d’une nouvelle composition, concernés par une évolution d’étiquetage, achetés auprès d’un fournisseur inédit, etc.).
À tout type de produit dès lors que la demande de déclaration émane directement de l’INRS.

Pour simplifier cette démarche, l’INRS se charge d’enregistrer les déclarations en ligne via une plateforme spécifique : Synapse. La déclaration sur Synapse est une obligation depuis l’arrêté du 25 janvier 2017. Mais comment se déroule-t-elle ?

Comment effectuer une déclaration sur Synapse ?

Le portail Synapse a été conçu pour faciliter et sécuriser les déclarations de produits et de préparations de façon dématérialisée. Une déclaration sur Synapse peut être prise en charge par l’industriel qui fabrique, vend ou utilise la substance en question, ou bien par un prestataire de service mandaté pour l’occasion.

Les démarches à suivre pour procéder à une déclaration sur Synapse sont les suivantes :

S’inscrire sur la plateforme Synapse (une étape préalable obligatoire conditionnée à l’utilisation d’un certificat électronique RGS délivré par un Tiers de Confiance : nous y reviendrons un peu plus loin) ;
Accéder à son espace personnel sur le portail (« Mes déclarations ») ;
Créer une « Nouvelle déclaration » ;
Remplir les onglets de la déclaration, dans l’ordre prédéfini ou non, chacun devant être validé individuellement en ayant pris soin d’inscrire les items obligatoires (signalés par un astérisque rouge), parmi lesquels : le contexte, l’identification, la nomenclature, l’usage du produit, les informations de commercialisation, les caractéristiques physico-chimiques, la composition des substances, l’étiquetage, etc.

Une fois la déclaration Synapse effectuée, il est possible de la consulter et d’en suivre le traitement depuis l’onglet « Mes déclarations », ou d’en changer l’affectation sur l’écran « Gestion des déclarations ».

Le certificat d’authentification RGS : une nécessité pour déclarer sur Synapse

Le certificat d'authentification RGS : une nécessité pour déclarer sur Synapse

Comme nous l’avons vu plus haut, la possession d’un certificat électronique est le préalable indispensable à toute inscription sur la plateforme, donc à toute déclaration. Mais pas n’importe quel certificat : un certificat RGS (pour « référentiel général de sécurité » : un texte qui fixe les règles à respecter pour garantir un certain niveau de sécurité lors des échanges dématérialisés d’informations).

Pour pouvoir effectuer une déclaration sur Synapse, l’industriel ou le prestataire de service mandaté doit nécessairement s’équiper d’un certificat RGS, afin de s’inscrire sur la plateforme, puis de s’authentifier à chaque fois qu’il souhaite se connecter. Ce certificat permet de garantir un niveau de sécurité élevé dans le cadre d’un accès à distance à une application ou un service en ligne. Il donne l’assurance que le déclarant est bien celui qu’il prétend être, et que les informations déposées et exploitées sont bien celles qui ont été antérieurement fournies par le possesseur dudit certificat.

L’accès au portail Synapse suppose d’obtenir un certificat deux étoiles (**) ou trois étoiles (***) auprès d’une Autorité de Certification comme CertEurope. Le nombre d’étoiles renvoie à l’obligation de remettre le support cryptographique contenant le certificat en mains propres au demandeur. Ces certificats servent à accéder à des espaces sécurisés sur des plateformes comme Synapse, et garantissent l’intégrité des documents signés électroniquement et des informations déposées en ligne.

Le certificat RGS** (au minimum) est donc l’indispensable sésame pour s’inscrire sur Synapse et commencer à effectuer des déclarations en ligne. L’inscription est validée par le gestionnaire de la plateforme après vérification du certificat. Si celui-ci expire, une mise à jour est alors nécessaire sur cette page. Renseignez-vous auprès de votre Tiers de Confiance pour en savoir plus.

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Chorus Pro, l’indispensable outil pour transmettre vos factures électroniques aux entreprises publiques

Parmi vos clients, vous comptez des collectivités locales, des ministères, des hôpitaux ou tout autre établissement public ? Dans ce cas, vous êtes sans doute déjà passé à la facturation électronique – ou devrez y passer très prochainement si votre société est une PME ou une micro-entreprise. Depuis le 1er janvier 2017, les entreprises qui fournissent les organismes publics en biens ou en services ont l’obligation d’adopter la dématérialisation des factures. Une contrainte qui n’en est pas vraiment une, grâce à la mise en place de Chorus Pro, le portail gouvernemental qui simplifie la transmission des factures dématérialisées et le suivi de leur traitement, tout en garantissant la sécurité des échanges. Explications.

La facturation électronique obligatoire pour les fournisseurs du service public

Dans l’idée d’inciter les entreprises à adopter massivement la facturation électronique, le gouvernement a prévu d’imposer l’émission de factures dématérialisées à tous les fournisseurs de l’administration publique, pour l’ensemble des échanges de biens et de services. En toute logique, il a également obligé les établissements publics et les collectivités locales à adapter leurs environnements informatiques pour pouvoir recevoir les factures dématérialisées, grâce à un portail dédié.

Ce processus est progressif. Résultant de l’ordonnance n°2014-697 relative au développement de la facturation électronique (à lire sur cette page), dans le cadre du programme de simplification en faveur des entreprises, un calendrier a été mis en place avec les paliers suivants :

1er janvier 2017 : entités publiques et grandes entreprises (plus de 5 000 salariés).
1er janvier 2018 : entreprises de taille intermédiaire (entre 250 et 5 000 salariés).
1er janvier 2019 : petites et moyennes entreprises (entre 10 et 250 salariés).
1er janvier 2020 : micro-entreprises (moins de 10 salariés et entrepreneurs individuels).

En 2020, toutes les sociétés qui travaillent avec les entités publiques devront donc être passées à la facturation électronique. Mais rien ne vous empêche, si vous n’êtes pas encore concerné par cette obligation, de passer à la dématérialisation sans attendre. Le portail permettant d’accueillir les factures électroniques et de les acheminer vers les destinataires prévus existe depuis le 1er janvier 2017 : c’est Chorus Pro.

Chorus Pro : simplifier les échanges de factures dématérialisées

Mis en place par l’AIFE (l’Agence pour l’informatique financière de l’État, une émanation du ministère de l’Économie et des Finances) en remplacement de Chorus Factures, le portail Chorus Pro a été conçu pour faciliter les échanges entre les sociétés et les administrations publiques dans le cadre des demandes de paiement. La plateforme embarque deux fonctionnalités principales :

Elle sert de « hub » permettant de centraliser les factures dématérialisées de l’ensemble des fournisseurs, pour les distribuer aux administrations publiques destinataires.
Elle permet d’envoyer, de consulter et de télécharger les factures dématérialisées, et de suivre en temps réel l’avancement du traitement des demandes de paiement.

Une fois votre compte créé sur Chorus Pro, vous pouvez sélectionner un mode d’émission (portail, EDI ou service) et un format (PDF signé ou non signé, PDF mixte, fichier XML, format structuré ou mixte, mise à disposition des services du portail sous forme d’API, etc.). Comme nous le verrons plus tard, le choix dépend du volume de factures à envoyer.

De son côté, l’entité publique destinée à recevoir vos demandes de paiement doit elle aussi opter pour un mode de réception : portail (visualisation et téléchargement des factures), EDI (injection automatique du flux, visualisation des factures électroniques sur une feuille de style) ou service (fonctionnalités qui passent par une API).

Les avantages du portail Chorus Pro

Ce qui pourrait ressembler a priori à une contrainte est, en réalité, une opportunité. Car le passage à la dématérialisation des factures par le biais de Chorus Pro offre de nombreux avantages, notamment :

Le gain de temps, grâce à l’accélération du processus de transmission des factures.
Les économies, en raison de la réduction des coûts d’impression et d’envoi.
La confiance, renforcée par une plus grande transparence (la possibilité de suivre en temps réel l’avancement du traitement).
La tranquillité d’esprit, du fait d’une diminution des relances et des risques de litige.
La réduction de l’empreinte carbone (moindres émissions de CO2).

À tous ces bienfaits, il faut ajouter un gain en matière de sécurité et de confidentialité des échanges – comme nous allons le voir tout de suite.

Des modes de transmission de facture électronique 100 % sécurisés

La dématérialisation des factures, aussi attractive soit-elle, pose la question de la sécurité des échanges. Que deviennent les factures une fois que vous les avez envoyées ? Quelqu’un peut-il transmettre des factures en usurpant votre identité ?

Tout est prévu pour que cela n’arrive pas, en fonction du mode de transmission choisi (dépôt unitaire des factures sur le portail Chorus Pro ou envoi groupé de façon automatisée en EDI – échange de données informatisées).

Si vous émettez un nombre peu élevé de factures (par exemple moins de 50 par mois): vous pouvez signer vos factures avec un certificat RGS** pour personne physique, et les déposer de manière unitaire sur Chorus Pro. Vous devez d’abord vous procurer un certificat RGS**, puis signer votre facture dans Adobe Acrobat Reader, et enfin la déposer sur Chorus Pro. Cette solution permet de se passer de la piste d’audit fiable. Découvrez tout le processus de dépôt d’une facture unitaire sur la page dédiée du portail.
Si vous émettez un volume important de factures (par exemple plus de 50 par mois): vous pouvez automatiser la transmission de vos factures vers le serveur Chorus Pro.
- En mode EDI ou API Oauth : il est nécessaire au préalable de s’équiper d’un certificat SSL ce qui permet de procéder au dépôt groupé des factures en format EDI.
- En mode API Oauth2 : il faudra passer par la plateforme PISTE (Plateforme d’Intermédiation des Services pour la Transformation de l’Etat), qui mutualise les services API de l’Etat et de la sphère publique, et qui a pour vocation à devenir un point d’entrée unique.

Quel que soit le cas de figure que vous choisissez, il est nécessaire de vous équiper soit d’un certificat RGS** pour personne physique, soit d’un certificat d’authentification serveur RGS* auprès d’un Tiers de Confiance comme CertEurope, de manière à ce qu’il soit conforme au RGS.

Tel est l’indispensable socle de confiance sur lequel vous vous appuyez pour garantir la sécurité et la confidentialité de vos factures électroniques transmises via Chorus Pro.

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat RGS*

Obtenez votre certificat conforme au Référentiel Général de Sécurité et au règlement européen eIDAS

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Du certibiocide à la déclaration Synapse : quelles sont les étapes à suivre ?

Dans le but de vendre sur le marché des produits conçus à partir de matières chimiques considérées comme étant dangereuses pour la santé, le ministère de la Transition Écologique impose aux entreprises spécialisées de passer le certibiocide, mais également d’effectuer la déclaration Synapse. Si le certibiocide est un certificat qui s’obtient à la suite d’une courte formation, les procédures actuellement en vigueur autour de la déclaration Synapse sont légèrement plus complexes à appréhender. L’occasion pour nous d’étudier dans cet article, l’ensemble des étapes à suivre afin d’effectuer sa déclaration sur la plateforme prévue à cet effet.

Certibiocide et déclaration synapse

Qu’est-ce que le certibiocide ?

Certibiocide et déclaration synapse

Le certibiocide est un certificat individuel et obligatoire que les professionnels souhaitant mettre en vente des produits biocides, donc nocifs pour certains êtres vivants, doivent obtenir. Ce certificat est délivré par le Ministère de la Transition Ecologique. Sans ce dernier, impossible de continuer son activité. Les produits concernés sont assez nombreux, allant des désinfectants de surface aux produits de lutte contre certains organismes, comme les termites, les rongeurs ou certains insectes.

Comment obtenir le certibiocide ?

Le certibiocide s’obtient à la suite d’une courte formation. Pour les détenteurs du certiphyto (certificat attestant de connaissances concernant l’utilisation de produits phytopharmaceutiques), cette formation ne durera qu’une seule journée. Pour les autres, il faudra compter sur un cycle de trois journées complètes. Celles-ci s’effectuent auprès d’un organisme spécialement agréé et habilité par le ministère de la Transition Écologique, dont les établissements sont répertoriés sur le site Simmbad. Une fois la formation passée, le certibiocide sera valide pour une durée de 5 ans, à compter du jour où il est officiellement délivré. Au cours de cette formation, les participants en apprendront plus au sujet des réglementations liées aux produits biocides ainsi que sur les usages de ces derniers, en fonction de la catégorie dans laquelle ils sont répertoriés (désinfectant, insecticide, rodenticide). Une partie de cette formation s’articule autour de la prévention de l’utilisation de ces produits et leurs impacts sur notre santé et notre environnement. Une autre partie concerne les stratégies alternatives vers lesquelles se tourner afin d’éviter de recourir à ces biocides. Mais ce certificat n’est pas une fin en soi et certains professionnels doivent aller plus loin, en se tournant notamment vers la plateforme Synapse.

Qu’est-ce que la déclaration Synapse

Depuis 2014, un arrêté invite les entreprises produisant et vendant sur le marché des produits chimiques considérés comme étant dangereux, à déclarer certains d’entre eux sur la plateforme Synapse. Celle-ci a été mise en place et est actuellement gérée par deux organismes : les Centres Antipoison et l’INRS (Institut National de Recherche et de Sécurité pour la prévention des accidents du travail et des maladies professionnelles).

Cette déclaration s’effectue en ligne, à travers le portail Synapse. Le gouvernement a décidé d’aller plus loin le 1er janvier 2019 en obligeant également les entreprises produisant et vendant sur le marché des mélanges considérés comme potentiellement dangereux pour la santé, à les déclarer. En 2022, c’est l’ensemble des mélanges présentant des risques physiques, qui seront à déclarer sur cette plateforme.

Cette déclaration, si elle n’est pas fondamentalement « compliquée », est un processus qui peut être chronophage et requiert des déclarants, qu’ils disposent du certificat RGS/eIDAS (Référentiel Général de Sécurité). Un processus que nous allons étudier plus en profondeur, dans la suite de cet article.

Déclaration synapse : notre guide en 4 étapes

Le certificat RGS, une condition sine qua non

Comme nous venons de l’évoquer, l’inscription sur la plateforme Synapse est conditionnée à l’obtention du certificat RGS. Ce certificat RGS vise à garantir un certain niveau de sécurité. À utiliser à chaque connexion sur Synapse, il sert de « carte d’identité électronique ». En l’utilisant, le professionnel va confirmer auprès de la plateforme, qu’il est bien la personne concernée par la déclaration. Ce certificat s’obtient auprès d’un organisme de certification tel que CertEurope, qui gère nos offres de la gamme Sign (signature numérique), afin de garantir la confiance dans vos échanges numériques.

Plusieurs documents sont demandés par les organismes tiers de certification. Ainsi, dans le but de compléter son dossier, il faut fournir :

Un extrait K-Bis de son entreprise. Celui-ci doit être daté de moins de 3 mois.
Un avis de situation de l’entreprise, afin de s’assurer que celle-ci est toujours en activité.
Une photocopie des statuts ainsi que des coordonnées de l’entreprise.
Un justificatif d’identité de la personne dont le nom figurera sur le certificat, afin de vérifier que celle-ci existe bel et bien et qu’elle sera la propriétaire de ce document.
Une confirmation signée par le représentant de la société concernée, confirmant l’identité de la personne à qui sera délivré le certificat.
Une participation financière, afin de régler ce service de certification.

La plateforme Synapse n’est plus accessible dès lors que son certificat RGS est périmé, soit après 3 années d’utilisation. Pour continuer à avoir accès à la plateforme et gérer au mieux ses déclarations, il est possible de remplir un formulaire dans lequel le déclarant joint l’empreinte de son nouveau certificat RGS. La mise à jour du compte est réalisée en back-office par les équipes Synapse. Le déclarant peut alors retourner sur son espace personnel, en toute sécurité. Attention, cette procédure, afin qu’elle soit menée à bien, doit être gérée par la personne en charge de la gestion de la déclaration Synapse, inscrite au préalable. Il faut donc fournir un nouveau certificat RGS, au même nom, faute de quoi, la procédure sera annulée. Une fois le certificat obtenu, reste à définir comment effectuer sa déclaration Synapse.

Comment faire sa déclaration Synapse depuis la plateforme ?

Passage obligatoire, le portail Synapse permet aux professionnels de déclarer leurs produits et leurs préparations, de manière totalement dématérialisée. La déclaration s’effectue directement sur la plateforme par le déclarant ou par une tierce personne mandatée pour l’occasion. Les démarches à suivre sont nombreuses, mais l’ensemble du processus est assez simple.

1- S’inscrire sur la plateforme Synapse

Afin de déclarer sur la plateforme Synapse, il faut avant toute chose, s’inscrire sur le portail. Comme nous avons pu le voir ci-dessus, cette inscription est directement conditionnée à l’obtention du certificat électronique RGS.

2- Accéder à son espace personnel

Une fois l’inscription terminée, un espace personnel est directement accessible. Cet espace personnel permet d’avoir accès à plusieurs catégories, comme :

L’espace nouvelle déclaration : comme son nom l’indique, cet espace permet la création d’une déclaration synapse.
Mes brouillons : cet espace permet de facilement retrouver, en quelques clics seulement, les dossiers en état d’avancement, mais qui ne sont pas encore terminés.
Mes déclarations : ce dossier permet le stockage de toutes les déclarations envoyées par le déclarant. C’est ici qu’il est possible de suivre l’évolution de sa déclaration.
Gestion : ce dossier permet le stockage de toutes les déclarations envoyées par l’unité déclarant. Cet écran permet également le changement d’affectation d’une ou plusieurs déclarations au sein d’une unité déclarante ainsi que le transfert d’une gamme de produits vers un autre déclarant.

3- Suivre l’onglet « Nouvelle déclaration »

Dans le but de créer une nouvelle déclaration Synapse, il convient de se rendre sur l’onglet « Nouvelle déclaration ». Il faut ensuite remplir les quelques cases obligatoires demandées. Parmi ces dernières, figurent notamment l’identification et l’usage du produit. Ces données sont importantes car elles permettent de rapidement retrouver le produit concerné et surtout, de savoir à quoi il sert. Son usage se déclare à l’aide du référentiel des classes d’utilisation générale qui dénombre 570 différents cas.

Les caractéristiques physiques ainsi que la composition du produit doivent également être détaillées. Ces données, comme la couleur, le pH et le point d’éclair ainsi que l’ensemble des éléments (classés comme dangereux ou non) doivent être présentés. Enfin, d’autres données, comme les informations de commercialisation ou l’étiquetage doivent être mises en avant par le déclarant.

Pour conclure, la déclaration Synapse requiert l’obtention d’un certificat RGS, délivré par un organisme de certification agréé, tel que CertEurope. En situation d’urgence, nous vous garantissons par ailleurs la livraison d’un certificat RGS sous 72 heures.
Pour plus d’informations, n’hésitez pas à visiter notre page dédiée : Comment utiliser la plateforme de déclaration Synapse ?

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité

Certificat RGS**/eIDAS

Un certificat multi-usage :

Conforme RGS (Référentiel Général
de Sécurité)
Conforme eIDAS (règlement européen)

Cas d’usages :

Authentification aux plateformes publiques et aux applications en ligne
Signature électronique
Chiffrement pour garantir un haut niveau de sécurité