Pourquoi Helios a-t-il été mis en place par la direction générale de la comptabilité publique ?

SOMMAIRE
  • SOMMAIRE

Pourquoi la direction générale de la comptabilité publique a mis en place Hélios ?

hélios

Depuis le 1er janvier 2015, la dématérialisation de la chaîne comptable et financière est obligatoire. Cela implique que les collectivités territoriales transmettent les pièces comptables au trésorier par voie électronique. Cela concerne les budgets, les mandats, les titres de recettes, les bordereaux et les pièces justificatives des dépenses et recettes. Pour faciliter la gestion informatique de la transmission dématérialisée des pièces comptables des collectivités locales et des établissements publics locaux, la direction générale des Finances publiques (DGFiP) a mis en place une application informatique de gestion comptable et financière : Hélios.

Qu’est-ce que la transmission Hélios ?

Qu'est-ce que la transmission Hélios ?

Hélios est une application qui facilite la gestion des flux financiers. Elle concerne les collectivités locales et les établissements publics locaux. Par exemple les établissements publics de santé, les établissements publics sociaux et médico-sociaux, ainsi que les établissements publics d’habitations à loyer modéré. Hélios est la télétransmission des données comptables qui repose sur la modernisation du système de gestion informatique et sur l’avènement d’Internet. L’application est paramétrable. Elle devra améliorer dans l’immédiat la gestion quotidienne des comptables. Ainsi, les comptables et les ordonnateurs peuvent suivre l’ordonnancement et l’exécution des dépenses et des recettes des collectivités.

Un outil moderne au service des gestionnaires publics

Internet étant un outil de développement technologique d’échange, il est logique que la DGFiP suive le changement pour la dématérialisation complète de la chaîne budgétaire et comptable entre les collectivités et le trésorier. Cette nouvelle application de gestion comptable et financière des collectivités locales et établissements publics locaux apporte donc beaucoup plus d’avantages que les autres applications utilisées précédemment par la DGFiP. Les données comptables et financières provenant des collectivités territoriales sont présentées en fichier XML, d’après le Protocole d’Échange standard (PES). Ces données se transmettent dans le système Hélios après transmission et contrôle en trésorerie.

Hélios apporte de la modernisation des échanges entre les collectivités locales et les comptables publics. Cela se traduit par la dématérialisation des pièces comptables et par la mise en place de la signature électronique. Hélios garantie ainsi une rapidité, une simplicité, une efficacité et une souplesse dans les échanges. Les collectivités locales et la trésorerie bénéficient toutes les deux des avantages proposés par Hélios. Ce dernier garantit des échanges enrichis. Cela que ce soit pour les situations de trésorerie, le paiement des mandats de dépense ou encore le recouvrement des titres de recette. Il en est de même pour la qualité d’information qui s’échange sur le suivi des marchés publics et l’inventaire des éléments d’actif.

En somme, la mise en place de l’application Hélios permet d’accélérer les paiements et les recouvrements. En effet, l’échange entre les collectivités locales et les comptables publics pour l’exécution des budgets constitue près de 550 millions de documents papier chaque année. Cette dématérialisation des pièces d’exécution budgétaire et comptables permet de réduire le coût, de fiabiliser la transmission, et d’améliorer le contenu des missions d’exécution et sa gestion.

L’exploitation du traitement Helios

Hélios permet le suivi du recouvrement des titres de recette, des dépenses, des régies et la gestion des ressources des personnes hébergées. Pour le suivi du recouvrement des titres de recette, Hélios permet de traiter diverses informations telles que les caractéristiques du titre, le suivi des encaissements et du recouvrement et l’identification du débiteur. Pour les dépenses, les informations sont les caractéristiques du mandat, l’identification et référence bancaire des fournisseurs. Mais aussi l’identification des titulaires et caractéristiques des marchés, les cessions-oppositions éventuelles, le suivi des paiements …

Pour le suivi des régies, les informations relatives à la régie, au régisseur et à ses mandataires. L’accès aux données est réservé aux personnels utilisateurs habilités. Ceux-ci émanent du poste comptable gestionnaire des collectivités locales, des trésoreries générales et des recettes des finances chargées de la gestion. Mais également du pôle spécialisé de la DGCP chargé du recouvrement contentieux, des services chargés de l’audit et de l’organisme ordonnateur des collectivités locales.

Pour les données à caractère personnel, quelques destinataires peuvent exploiter le traitement Hélios. Les organismes bancaires peuvent être des destinataires des données pour le règlement des dépenses, le recouvrement et les prélèvements. C’est aussi le cas pour les huissiers dans la procédure des actes de saisie. Egalement des gérants des établissements de santé pour les personnes hébergées concernées. Cependant, l’accès sur l’application HELIOS se limite aux données relatives au domaine de compétence des utilisateurs. Les ordonnateurs ne peuvent pas consulter par exemple que les données qu’eux-mêmes ont transmis au Trésor public.

Identifier les numéros de marché en cohérence avec Hélios

Lors de la transmission des données entre ordonnateur et comptable vers le trésorier (Hélios), il faut créer un identifiant unique qui figurera sur la pièce d’ordonnancement (titre ou mandat) pour lier les pièces justificatives dématérialisées et les pièces comptables.

Deux modes de référencement s’offrent aux ordonnateurs pour créer un lien entre les pièces justificatives « papier » et les titres ou mandats dématérialisés avec le Protocole d’échange standard d’Hélios : un référencement par identifiant unique et un référencement par numéro de mandat ou de titre.

L’identifiant unique doit comporter au minimum un certain nombre d’informations précises à savoir le SIRET du budget collectivité, l’année d’origine, le domaine conformément aux « objets comptables » d’Hélios (dépense, recette…) ou le domaine principal pour des pièces justificatives, le numéro chronologique (identification des numéros de marché en cohérence avec Hélios) et les autres données d’identification choisies par l’ordonnateur pour garantir le lien entre les pièces justificatives dématérialisées et les pièces comptables.

Le référencement par identifiant unique permet l’apposition d’un identifiant unique sur chaque pièce justificative. Ce type de référencement s’effectue selon les modalités techniques que l’ordonnateur a définies. Par exemple des étiquettes ou une référence manuscrite à la pièce justificative.

Pour faciliter le classement, l’identifiant unique doit comporter l’année d’origine, le domaine et le numéro chronologique. L’ordonnateur effectue le classement selon l’ordre de l’identifiant pour assurer un classement chronologique par domaine. Ce type de référencement reste le même avant et après l’arrivée de la dématérialisation au niveau des pièces justificatives.

Le référencement par numéro de mandat ou de titre incombe à l’ordonnateur Il doit accompagner les pièces justificatives du numéro du mandat ou de titre rattaché. Ainsi, pour ce deuxième mode de référencement il assure le classement des pièces justificatives par numéro d’objet comptable.

Le Protocole d’Echange Standard Version 2 (PES V2)

Le Protocole d'Echange Standard Version 2 (PES V2)

Tous les autres protocoles de transmission des titres et mandats qui existent précédemment seront remplacés petit à petit par le Protocole d’Echange Standard d’Hélios (PES). Il est actuellement dans sa version 2. Et la dématérialisation de la chaine comptable et financière doit adopter le PES V2 à compter du 1er janvier 2015. Par rapport à la première version, le PES V2 d’Hélios offre la possibilité de dématérialiser des pièces justificatives.

Les formats des pièces et signatures

Dans le cadre d’Hélios, on privilégie le format des fichiers électroniques dématérialisés par l’émetteur. Cependant, il existe des formats référencés par la Direction générale des Finances publiques (DGFiP). Ils sont à destination des collectivités et de leurs établissements publics. Le but est qu’ils puissent fluidifier les échanges avec le comptable du Trésor. Hélios privilégie le format XML. Il doit cependant respecter les schémas référencés ou validés par la convention cadre nationale relative à la dématérialisation des documents de la chaîne comptable et financière des collectivités, établissements publics locaux et établissements publics de santé. 

L’utilisation du format PDF est aussi sollicitée surtout dans sa version PDF-A. Il existe aussi des formats qui sont temporairement acceptés comme : 

  • le format CSV (comma separated value)
  • le format Open Document (ODT) pour les documents « texte » (norme ISO 26300) et le format bureautique « Word RTF ».

Comme pour les pièces comptables, les formats XML et PDF sont aussi privilégiés pour la dématérialisation des pièces justificatives. Et pour faciliter la transmission des documents, il est conseillé d’utiliser les formats ZIP, TAR ou GTAR pour les documents liés. Ces formats de compression garantissent l’archivage des documents et la préservation des noms des fichiers durant la transmission.

Que requiert Hélios ?

Hélios requiert la signature électronique des pièces comptables et des pièces justificatives liées comme les bordereaux de mandats/titres, acte d’engagement des marchés publics, etc. XadES est le format de signatures privilégié pour les fichiers XML selon l’article 289V du CGI. La signature PADES est le format utilisé pour signer les pièces justificatives au format PDF-A telles que les documents contractuels et les factures. Les pièces comptables au format XML simplifié PES (PES facture) se visualisent avec XéMéLios.

Pour les fichiers PES, la signature XadES est le format de signature conseillé. L’utilisation d’un certificat électronique est indispensable pour signer un document dématérialisé. Le certificat délivré par la DGFiP est reconnu pour la signature des fichiers Protocole d’échange standard d’Hélios. Ces certificats électroniques permettent pour rappel de garantir l’identité du signataire et l’intégrité du document. Ainsi, tous les certificats de signature électronique dans les marchés publics se référencent dans la liste de catégories de certificats « listes de confiance » selon l’arrêté du ministre de l’Économie et des Finances en date du 15 juin 2012

Hélios et la notification de l’horodatage

L’horodatage permet d’associer un fichier à sa date de création ou de réception. Dans les cas où les collectivités et établissements publics locaux(CEPL) utilisent un horodatage, les documents notifiés sont accompagnés d’un lien permanent. Les documents accompagnant la notification sont ainsi signés par le titulaire. Un jeton d’horodatage (Dont le format RFC3161 est le plus privilégié) accompagne la signature électronique.

 Il représente la date de notification. Cette préconisation devenue obligatoire s’établie pour qu’un tiers horodateur puisse toujours avoir une vision objective. Surtout si la CEPL exploite la plate-forme de dématérialisation. Selon les dispositions des articles 12 et 81 du code des marchés publics, les dispositifs de l’horodatage doivent permettre de déterminer la date de réception de la notification par le titulaire. Le jeton d’horodatage doit être stocké dans une signature électronique.

Que proposent les services de certification et d’horodatage

Les services de certification et d’horodatage proposent différents types de services pour la dématérialisation des marchés publics. Déjà, le certificat numérique permet d’authentifier le titulaire de la signature. Ainsi que l’identifier lors de la connexion sur le Portail de la gestion publique. Les services de certification et d’horodatage permettent aux ordonnateurs des flux comptables des collectivités locales de sceller et de protéger un document contre toute altération ultérieure. Ceci grâce à la signature électronique ou à l’horodatage. 

Le scellage du document permet de garantir son intégrité. L’horodatage électronique permet d’enregistrer la date et l’heure de création ou de réception du document. L’horodatage est comme le cachet de la poste faisant foi de la date d’envoi. Et enfin, le certificat électronique peut garantir la confidentialité d’un document et le protéger contre les consultations non autorisées.

L’application Helios permet en somme un gain de temps significatif pour ce qui est de la procédure de validation et de signature de toutes les pièces comptables et financières. La solution Hélios permet aussi de garantir la confidentialité, l’intégrité, la traçabilité et la non-répudiation des documents.

 

Authentification forte : un gage de confiance pour vos transactions électroniques

SOMMAIRE
  • SOMMAIRE

Authentification forte : un gage de confiance pour vos transactions électroniques

Les transactions électroniques se développent rapidement… tout comme les risques qui pèsent sur elles (à l’instar de l’usurpation d’identité). Pour sécuriser les échanges dématérialisés, la confiance numérique s’impose alors comme un socle indispensable. Or, il ne peut pas y avoir de confiance sans une garantie : celle que les parties disposent d’une identité mutuellement reconnaissable. L’authentification forte, en opposition à sa version « faible » qui repose généralement sur l’utilisation d’un simple mot de passe, permet de répondre pleinement à ces enjeux.

Qu’est-ce que l’authentification forte ?

Qu'est-ce que l'authentification forte ?

La notion d’identité numérique soulève une question d’importance. Comment s’assurer que le tiers avec lequel on souhaite échanger électroniquement est bien celui qu’il prétend être ? L’interrogation est d’autant plus cruciale dans le cadre des transactions électroniques entre deux entreprises, ou bien entre une entreprise et un particulier.

La confiance numérique est le socle indispensable sur lequel s’appuie une transaction électronique sécurisée. Pour que deux parties puissent réaliser une transaction digitale sûre, qu’il s’agisse d’un acte commercial, d’une procédure administrative ou d’un simple échange de données, elles ont besoin d’une garantie : celle que l’interlocuteur est bien celui qu’il prétend être. Pour cela, il faut que l’identité de chacun soit immédiatement reconnaissable. Que chaque partie puisse « prouver » son identité en ligne.

L’authentification numérique, et en particulier l’authentification forte, permet de créer ce socle de confiance. Elle apporte un niveau de garantie élevé quant à la personne (physique ou morale) rattachée à une identité numérique. Contrairement à une authentification dite « faible », elle participe à la création d’une identité qui réduit les risques d’usurpation, rendant les transactions électroniques plus sûres.

Vérification : forte VS faible

Vérification : forte VS faible

L’identité d’une entité en ligne peut être vérifiée de trois façons :

  • Par le biais d’une information connue seulement de cette entité (mot de passe, question secrète, etc.) ;
  • Par le biais d’un dispositif électronique détenu exclusivement par l’entité et permettant de l’authentifier (one-time-password, carte à puce, clé USB, carte magnétique, token, certificat électronique, etc.) ;
  • Par le biais d’une information biométrique physique ou comportementale (pour un individu uniquement : empreinte digitale ou rétinienne, signature manuscrite, reconnaissance par la voix, comportement, etc.).

D’autres facteurs d’authentification émergent doucement : la géolocalisation, le réseau ou le profilage comportemental. Mais ces trois-là sont les plus communs et les plus utilisés dans le cadre des transactions électroniques.

Le mot de passe est le facteur d’authentification le plus fréquemment utilisé : c’est lui qui vous permet d’accéder à votre boîte mail, à votre session informatique ou à votre réseau. Il s’agit d’une authentification faible, basée sur un unique facteur. Mais elle offre des garanties limitées, étant très vulnérable aux usurpations d’identité.

Basée sur plusieurs facteurs d’authentification distincts, l’authentification forte (aussi appelée « authentification multi-facteurs ») fonctionne comme une porte à double verrou : pour une personne malveillante, la forcer est plus difficile et exige plus de temps. Elle garantit un niveau de sécurité élevé dans le cadre des transactions numériques. C’est le niveau de sécurité optimal pour les organisations.

L’utilisation de l’authentification forte garantit une protection accrue contre les risques d’usurpation d’identité. C’est le cas, par exemple, des certificats électroniques qualifiés, délivrés par un Tiers de Confiance comme CertEurope. Un certificat de ce type assure un niveau de garantie élevé quant à l’identité de son titulaire, lorsqu’il s’authentifie dans le but d’accéder à un service en ligne. L’authentification forte est ainsi l’élément clé d’une base de confiance numérique, indispensable au développement des échanges dématérialisés.

L’authentification forte comme fondement de la notion d’identité numérique

L'authentification forte comme fondement de la notion d'identité numérique

Les enjeux de l’authentification forte sont directement liés à la problématique de l’identité numérique et de sa protection. Plus les échanges électroniques se développent, et plus la question de la vulnérabilité des systèmes informatiques se pose. Comment sécuriser son identité en ligne ? Garantir la provenance d’une information ? Et créer un socle de confiance ?

Les besoins en matière de renforcement de la sécurité informatique ont permis à la problématique de l’identité numérique d’éclore. Les mécanismes d’authentification découlent de la multiplication des points d’entrée dans les SI et de la prise de conscience de l’importance de la confiance digitale. Jean-Pierre Quémard, président de l’Alliance pour la confiance numérique, a bien exprimé les choses : « L’identité numérique est au cœur de la confiance numérique : sans gestion fiable de l’identité numérique, il est illusoire de croire au développement des services de confiance ». Autrement dit, sans identité digitale forte, impossible de créer de la confiance entre les parties prenantes.

Au-delà de la seule authentification lors des échanges numériques, l’identité numérique d’une entreprise est constituée de l’ensemble des éléments qui lui sont associés (contenus, ressources, réputation) et des valeurs que le public lui attribuent. En somme, l’identité numérique est fortement liée à la notion de réputation (ou de notoriété) digitale. C’est donc un ensemble d’éléments à protéger.

 

L’authentification forte, garantie par un certificat électronique qualifié, protège votre entreprise contre les risques d’usurpation d’identité. Mais elle fait bien plus que cela : elle consolide votre identité numérique et renforce votre image de marque. C’est donc bien plus qu’un outil stratégique : un gage de confiance.

Qu’est-ce qu’un OTP (One Time Password) ?

SOMMAIRE
  • SOMMAIRE

Qu'est-ce qu'un mot de passe à usage unique (OTP : One Time Password), quand l'utiliser et comment le générer ?

mot de passe à usage unique otp

À une époque où la numérisation nous permet d’accéder à une multitude de services à distance, les processus d’authentification et d’enregistrement requièrent un haut degré de sécurité. Il peut également être atteint grâce à un OTP password (mot de passe OTP).

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?​

Qu'est-ce qu'un mot de passe à usage unique (OTP) ?

OTP signifie « One Time Password » (mot de passe à usage unique).

En effet, un code OTP est une chaîne aléatoire de caractères alphanumériques générée par un système d’authentification. Il a pour but d’accorder l’accès à un service de manière sécurisée. Comme son nom l’indique, il s’agit d’un mot de passe à usage unique. Il ne peut être utilisé qu’une seule fois et est généralement valable pour une durée limitée (TOTP, Time-based One-Time Password). Une signature électronique OTP a une valeur légale.

Quand les codes OTP sont-ils utilisés ?

Quand les codes OTP sont-ils utilisés ?

Un OTP token font donc partie des systèmes d’authentification à plusieurs facteurs et sont utilisés dans plusieurs domaines. Par exemple :

  • l’accès aux services de l’administration publique,
  • les transactions via la banque à domicile,
  • l’accès aux réseaux sociaux,
  • l’enregistrement d’un nouveau compte,
  • la modification des paramètres de sécurité de ses comptes,
  • la vérification de l’identité,
  • le commerce électronique et les achats en ligne.

Ainsi, dans de nombreux cas, on demande à l’utilisateur une signature OTP. Cela en plus de la saisie de ses identifiants de connexion (nom d’utilisateur et mot de passe). En effet le mot de passe OTP s’envoie directement sur votre numéro de téléphone sous format SMS, par exemple.

Comment les mots de passe jetables sont-ils générés ?

Comment les mots de passe jetables sont-ils générés ?

Les codes OTP se génèrent à l’aide d’algorithmes de cryptage à clé partagée. La clé partagée est une chaîne de caractères que les deux parties utilisent (client et serveur) pour chiffrer et déchiffrer les données. Cela forme une signature électronique OTP.

Dans le cas du mot de passe à usage unique OTP, la clé se génère de manière aléatoire au moment de l’action de l’utilisateur et est stockée sur le serveur.

L’algorithme de cryptage à clé partagée permet de générer une signature OTP sur la base de la clé partagée et de la date du jour. Ainsi, le OTP password s’utilisent pour l’accès qu’à ce moment précis : une fois la durée de validité expirée, il n’est plus utilisable. 

Au-delà des aspects techniques, il existe donc plusieurs méthodes par lesquelles un utilisateur peut obtenir un OTP token. En voici quelques-unes :

  • Les applications pour smartphone : il existe diverses applications, tant pour Android que pour iOS, qui permettent de générer un code à usage unique OTP (OTP password);
  •  Les tokens/jetons : il s’agit de petits dispositifs portables, généralement au format clé USB ou carte à puce, capables de générer un mot de passe OTP ;
  • SMS ou e-mail : dans certains cas, le code peut être envoyé par SMS ou par e-mail ;
  • Services en ligne : certaines entreprises proposent des services en ligne pour générer des OTP token.

Il est important que l’utilisateur utilise le mot de passe OTP dans un laps de temps plutôt court et qu’il le supprime immédiatement après utilisation, afin de l’invalider. En général, le système de génération lui-même considère le mot de passe jetable comme invalide après quelques secondes. 

Quels sont les avantages du code OTP ?

Quels sont les avantages du code OTP ?

Les OTP token ont pour origine le besoin de garantir la sécurité des processus d’authentification. Puisque ce sont des mots de passe dynamiques, les pirates ne peuvent ni les mémoriser ni les prévoir. 

De plus, leur durée limitée laisse aux cybercriminels trop peu de temps pour procéder au vol des identifiants.

Dans le cas où ils parviendraient à récupérer l’OTP password, ils ne seraient pas en capacité de l’utiliser. En effet, ayant déjà été utilisé pour un accès ou une transaction, le système d’authentification le reconnaîtrait comme n’étant plus valide. Une solution MFA (Multi Factor Authentification) à deux facteurs est donc efficace pour se protéger contre l’usurpation d’identité en ligne.

L’utilisation d’un OTP token pour accéder à des services sensibles garantit un niveau de sécurité plus élevé qu’une simple authentification à deux facteurs. Dans ce dernier cas, l’utilisateur doit seulement fournir un nom d’utilisateur et un mot de passe. L’OTP token permet de surmonter les problèmes de sécurité des mots de passe.

De plus, comme nous l’avons vu, il peut s’utiliser à des fins diverses. De l’accès aux services en ligne à la vérification de l’identité… mais également pour éviter d’avoir besoin de réinitialiser vos mots de passe à chaque oubli. Dans une entreprise, cela permet ainsi également d’optimiser le temps de travail des équipes de support IT.

Tous ces avantages l’emportent largement sur les quelques inconvénients des codes OTP. Essentiellement, ceux ci sont principalement liés à leur gestion. En effet, la durée de validité limitée peut être un problème dans certains cas : si vous oubliez d’enregistrer votre mot de passe OTP ou si vous avez une interruption de connexion pendant que vous le tapez, vous risquez de devoir générer un nouveau code.

Qu'est-ce que l'authentification multi-facteurs ?

Qu'est-ce que l'authentification multi-facteurs ?

Il convient de terminer cet article en consacrant quelques mots à l’authentification multifactorielle.

Également appelée authentification multi-facteurs (MFA/2FA), il s’agit d’une méthode d’authentification qui exige de l’utilisateur qu’il fournisse non seulement ses propres informations de connexion, mais aussi un élément supplémentaire, qui peut être un code OTP ou une clé biométrique (par exemple, une empreinte digitale). 

En d’autres termes, le MFA est un système d’authentification reposant sur plusieurs couches de sécurité, ce qui rend plus difficile l’accès des cybercriminels aux services et données sensibles. En effet, même si un pirate parvenait à obtenir des informations d’accès, il ne serait pas en mesure de surmonter la couche de sécurité supplémentaire que représente, par exemple, le code OTP.

L’utilisation d’un mot de passe à usage unique OTP est donc un excellent moyen de mettre en œuvre le MFA dans ses processus d’authentification. Et quelle que soit la méthode choisie pour générer les codes, le plus important est de toujours accorder la plus grande attention à la sécurité de son appareil et de ses données personnelles.

Comment mettre en place le BPE – bulletin de paie électronique ?

SOMMAIRE
  • SOMMAIRE

Comment mettre en place le BPE - bulletin de paie électronique ?

bulletin de paie électronique

La dématérialisation des échanges dans les entreprises se démocratise. Mais à y regarder de plus près, la route sera encore longue avant de pouvoir parler de généralisation. 

Le bulletin de paie électronique (BPE) est un bon exemple de cette situation. Afin de simplifier et d’alléger les procédures inscrites dans le Code du travail, le bulletin de paie dématérialisé a été rendu légal le 12 mai 2009.

La loi autorise ainsi un employeur à remettre au salarié son bulletin de paie sous forme électronique. Cela a condition d’obtenir son accord et de garantir l’intégrité des données. Dans ce domaine, la France est en retard par rapport à de nombreux pays européens. Le BPE a pourtant de nombreux avantages qui jouent en sa faveur.

Le taux de dématérialisation des bulletins de paie en France est de 15%, contre 95% en Allemagne, 73% en Grande-Bretagne et 54% en Belgique. Le BPE est pourtant annoncé depuis plus de 10 ans. Mais ce n’est qu’en 2009 que les salariés ont pu bénéficier d’un cadre légal plus protecteur vis-à-vis de la dématérialisation de leurs fiches de salaire. Cela fait suite à la loi n°2009-526 de simplification et de clarification du droit et d’allègement des procédures. Cependant, ce texte n’autorisait pas une entreprise à imposer cette solution. Elle devait obtenir l’accord préalable de ses collaborateurs.

Pourquoi mettre en place le bulletin de paie électronique – BPE ?

Pourquoi mettre en place le bulletin de paie électronique - BPE ?

De nouveaux textes pour favoriser l’adoption du bulletin de paie électronique

Malgré certaines avancées juridiques, le bulletin de paie papier continue pourtant de faire de la résistance sur le territoire français. A partir du 1er janvier 2017, de nouveaux textes vont permettre aux entreprises privées comme au secteur public de généraliser ce système.


Et c’est l’administration qui ouvre la marche avec un décret du 3 août 2016. Au 1er janvier 2020 au plus tard, les bulletins de paie des agents civils de l’Etat, des magistrats et des militaires devront être mis à disposition des intéressés. Ils le seront sous forme électronique, dans un espace numérique propre, créé et administré par la Direction générale des finances publiques.
Pour les entreprises, les nouveautés se trouvent dans la loi Travail publiée le 9 août 2016 au Journal officiel après sa validation par le Conseil constitutionnel. A partir du 1er janvier 2017 et sauf opposition du salarié, un employeur pourra « procéder à la remise du bulletin sous forme électronique ». Cela peut se faire par email et/ou via le futur compte personnel d’activité (CPA). En revanche, si le salarié en fait la demande, son employeur aura l’obligation de lui remettre une version papier.

Les avantages du bulletin de paie électronique – BPE

Les avantages du bulletin de paie électronique - BPE

Sur le principe, le bulletin de paie électronique (BPE) comporte de nombreux avantages pour les entreprises et leurs salariés :

  • Il permet de réduire le papier et les coûts liés à sa transmission (impression, affranchissement, etc), une économie non négligeable. Un rapport gouvernemental estime que « la dématérialisation du bulletin de salaire occasionne des économies immédiates de l’ordre de 33 à 67% ».
  • Il n’est pas falsifiable car il est signé électroniquement.
  • Il est plus facile à conserver car il occupe moins de place et est à l’abri des pertes et destructions (en cas de sinistre, de déménagement, de maladresse).
  • Il facilite les interactions avec les administrations ou autres entités exigeant la production des bulletins de paie.
  • Il permet une meilleure utilisation des ressources humaines : au lieu de se consacrer à des tâches comme la mise sous pli, le classement des documents, les salariés chargés de la gestion des bulletins de paie peuvent ainsi se recentrer sur des activités à forte valeur ajoutée pour l’entreprise.
  • Le BPE véhicule une image de modernité.
  • Il constitue un atout à l’heure où l’on incite les entreprises à être éco-responsables.

BPE – Des économies à la clé

Le certificat SSL est un « document numérique » permettant d’authentifier une clé publique. C’est-à-dire prouver qu’elle appartient bien à une personne ou à une entité connue.

Un certificat associe donc une clé publique à une identité. Cette identité peut être celle :

  • D’une personne physique (on parle de certificat individuel) permettant par exemple à son titulaire de sécuriser son e-mail.
  • D’une machine (comme un serveur web). On parle alors de « certificat serveur ». Il s’utilise par la machine titulaire afin de prouver son identité aux clients qui souhaitent établir une connexion sécurisée avec elle.

Ainsi, un certificat numérique SSL fonctionne sur le même principe qu’une pièce d’identité classique. Les informations qu’il contient se certifie par l’Autorité de Certification (AC). Celui-ci signe le certificat avec sa clé privée de telle sorte que quiconque disposant de la clé publique de cette AC est en mesure de vérifier l’authenticité de chaque certificat délivré.

 

Les navigateurs Web intègrent nativement une liste de certificats provenant de différentes Autorités de Certification selon des règles internes définies par les développeurs du navigateur. Notons que depuis 2014, pour assurer l’inviolabilité des informations chiffrées, la taille minimum de la clé privée de signature doit être de 2048 bits.

Comment mettre en place un meilleur serveur web

Comment mettre en place un meilleur serveur web

Lorsqu’une personne physique ou morale souhaite mettre en place un serveur web utilisant une communication HTTPS sécurisée par SSL/TLS, elle génère une clé publique, une clé privée puis envoie à l’une de ces Autorités de Certification une demande de signature de certificat (en anglais CSR : Certificate Signing Request) contenant sa clé publique ainsi que des informations sur son identité (coordonnées postales, téléphoniques, email…).

Après vérification de l’identité du demandeur du certificat par une Autorité d’Enregistrement (AE), l’Autorité de Certification signe le CSR grâce à sa propre clé privée qui devient alors un certificat puis le transmet en retour à la personne qui en a fait la demande.

Le certificat ainsi retourné sous forme de fichier informatique s’intègre dans le serveur web du demandeur. Lorsqu’un utilisateur se connecte à ce serveur web, celui-ci lui transmet à son tour le certificat fourni précédemment par l’Autorité de Certification.

Mise en place du bulletin de salaire en ligne ?

Mise en place du bulletin de salaire en ligne ?

Dématérialisation et cycle de vie du bulletin de paie

La mise en place du bulletin de paie électronique dans les entreprises pose plusieurs questions.

  • Obtention du consentement – La remise d’un bulletin de salaire en ligne ne peut s’effectuer que si le salarié y a préalablement consenti. Cela signifie d’abord que l’employeur doit trouver une manière de recueillir ce consentement sans contestation possible. En effet, la loi n’explicite pas les modalités de recueil. Avenant au contrat de travail, procédure dématérialisée avec signature électronique ? Par ailleurs, le consentement est obtenu de manière individuelle. Cela signifie que la plupart du temps, il y aura coexistence au sein d’une même entreprise d’un dispositif papier et d’un dispositif électronique.
  • Remise du bulletin de paie – Sauf disposition contraire, chaque employeur est libre de décider des modalités de remise du bulletin de salaire. Qu’il s’agisse de le donner en main propre ou de l’envoyer par courrier. Dans le cas du BPE, la loi ne spécifie pas non plus sous quelle forme le bulletin doit être transmis. Cela qui crée un flou pour les entreprises : envoyer le bulletin de paie par e-mail est-il suffisant ? Comment s’assurer de l’intégrité du document pour qu’il ne puisse pas être falsifié ?
  • Archivage – Le bulletin de paie fait partie des documents que l’on doit conserver à long terme. Le salarié doit le garder de manière illimitée tandis que l’entreprise a l’obligation légale de le conserver durant au moins cinq ans, une exigence inscrite dans le Code du Travail et dans celui de la Sécurité Sociale. L’archivage pose d’autres questions : comment assurer un stockage sécurisé des bulletins de paie en préservant la confidentialité requise ? Comment garantir leur lisibilité dans le temps en dépit des changements technologiques ? Quelles procédures mettre en place pour veiller à la pérennité des documents quel que soit le devenir de l’entreprise ?

Comment proposer le bulletin de salaire en ligne ?

Comment proposer le bulletin de salaire en ligne ?

Les solutions technologiques existent et répondent à toutes ces questions :

  • On peut garantir l’intégrité des données en signant électroniquement le BPE avec un certificat électronique délivré par un Tiers de Confiance comme CertEurope.
  • L’employeur peut assurer la conservation du bulletin de salaire électronique en toute confidentialité en le mettant à la disposition du salarié dans un espace personnel de stockage sécurisé en ligne. Appelé « coffre-fort numérique », ce dispositif garantit l’archivage sur le long terme des documents. On peut marquer chacun d’entre eux à l’aide d’un jeton d’horodatage : comparable au cachet de la poste, il permet de prouver que le document a été mis à disposition à une date précise dans le coffre-fort.

Comment favoriser le passage au bulletin de salaire en ligne ?

Comment favoriser le passage au bulletin de salaire en ligne ?

Le bulletin de paie français reste plus complexe que celui de nos voisins européens. Il peut atteindre 50 lignes là où il n’en fait que 15 en Allemagne. Un vaste chantier de réflexion s’engage afin de le simplifier. La question de la dématérialisation va de pair avec cette volonté de clarifier et d’alléger les procédures administratives.

Les technologies existent et sont accessibles en terme de coûts et d’implémentation. Elles permettent à la fois d’apporter les garanties juridiques exigées par la loi mais offrent aussi un dispositif sécurisé, pérenne et facile d’accès aussi bien pour l’employeur que pour le salarié. Une manière, sans doute, d’installer la confiance nécessaire à une dématérialisation réussie. Comme toujours dans les processus de dématérialisation, les utilisateurs apprécient…

Pour aller plus loin

Pour aller plus loin

L’AFNOR a créé des normes qui préconisent de bonnes pratiques, tant sur le plan technique que fonctionnel.

La norme Z 42-013 : elle vise à favoriser l’archivage et les échanges de fichiers en assurant leur traçabilité et leur intégrité.
La norme Z 42-025 : elle définit les processus à mettre en place pour recueillir le consentement du salarié, créer le bulletin de paie électronique, le remettre et le conserver.
La FNTC (Fédération des Tiers de Confiance) a également rédigé des guides sur le BPE à l’attention de l’employeur et du salarié.

Plateforme de signature électronique GoSign

Utilisez un outil unique pour signer, horodater et vérifier vos documents. Selon le processus en question et le niveau de confiance requis, choisissez la solution de signature électronique qui convient le mieux : signature simple, avancée ou qualifiée.

Plateforme de signature électronique GoSign

Utilisez un outil unique pour signer, horodater et vérifier vos documents. Selon le processus en question et le niveau de confiance requis, choisissez la solution de signature électronique qui convient le mieux : signature simple, avancée ou qualifiée.

4 questions autour du certificat d’authentification de serveur

SOMMAIRE
  • SOMMAIRE

4 questions autour du certificat d’authentification de serveur

Mettez-vous à la place des visiteurs de votre site web, de vos clients ou de vos partenaires dans le cadre d’échanges de données en ligne : pourquoi devraient-ils faire confiance d’emblée à votre serveur ? La question est d’autant plus légitime si les données échangées sont confidentielles. Pour que la confiance existe entre deux entités en ligne, il est indispensable que les « clients » (au sens informatique du terme) puissent s’assurer de l’identité du propriétaire du serveur et de la confidentialité des échanges. Dans ce cas, c’est précisément à cela que sert un certificat de serveur : authentifier les organisations et sécuriser les sessions en ligne lors des échanges de données. L’autre cas que nous allons considérer concerne la signature en masse de documents : ici un certificat de cachet serveur permet de les figer pour garantir leur intégrité. C’est un peu comme si une entreprise apposait un tampon sur un lot de documents. Entrons dans le détail de ces cas d’usage.

Qu’est-ce qu’un certificat de serveur ?

Qu’est-ce qu’un certificat de serveur ?

Un certificat de serveur est un certificat électronique qui joue le rôle de carte d’identité pour un serveur ou une application. Son propriétaire est une personne morale. Son but ? Identifier ledit serveur (ou ladite application) auprès de serveurs ou d’applications tiers(ces). Rattaché à un nom d’hôte ou à un nom de domaine, le certificat de serveur permet aux clients d’authentifier les serveurs auxquels ils se connectent. De la sorte, l’utilisateur est certain :

  • Que le propriétaire du serveur est bien celui qu’il prétend être.
  • Que la session est sécurisée et que les échanges de données resteront confidentiels.
  • Que les documents transmis par voie électronique ont bien été signés par le propriétaire du serveur et que leur intégrité est assurée.

Cette sécurisation du serveur est critique dans de nombreux cas de figure : pour les visiteurs d’un site web qui fournissent des données personnelles ou qui utilisent des identifiants de connexion ; pour les clients d’une plateforme e-commerce souhaitant payer à l’aide de leurs informations bancaires ; pour deux serveurs qui ont besoin de s’échanger des documents ou des données (par exemple, une facture électronique).

Quels sont les différents certificats ?

Quels sont les différents certificats ?

On distingue communément trois types de certificats de serveur :

  • Le certificat SSL. Installé sur un serveur web, le certificat SSL sécurise les échanges d’informations entre un serveur et un navigateur tout en permettant au propriétaire du site web de « prouver » son identité aux visiteurs. Ce certificat SSL active le protocole HTTPS et affiche un cadenas dans la barre d’adresse du navigateur. Il en existe plusieurs types, en fonction du niveau de certification : à validation de domaine (DV), à validation d’organisation (OV), à validation étendue (EV).
  • Le certificat Cachet Serveur. Il s’agit d’un certificat de serveur d’authentification et de signature pour les personnes morales, conforme aux réglementations eIDAS et au RGS. Il permet de signer d’importants volumes de documents en simultané pour garantir leur intégrité et leur authenticité – par exemple pour des factures électroniques.
  • Le certificat SSL authentification Serveur – Client. Grâce à ce certificat, deux serveurs sont en mesure de s’authentifier mutuellement, dès lors qu’ils sont tous les deux équipés. Un certificat de serveur est utilisé, par exemple, par les copropriétés qui doivent s’immatriculer auprès du registre en ligne, afin de pouvoir connecter leur logiciel de gestion à la plateforme publique d’enregistrement.

Quelles sont les spécificités du certificat ?

Quelles sont les spécificités du certificat ?

Pour être valide, un certificat de serveur doit répondre à un certain nombre d’exigences qui sont autant de spécificités. D’abord, il doit être émis par une Autorité de Certification, comme CertEurope, suite à une demande de signature de certificat (CSR). Ce Tiers de Confiance s’assure de l’adéquation entre le demandeur et le serveur à sécuriser en s’appuyant sur les informations contenues dans la demande (nom de domaine, adresse mail de contact, infos sur l’entreprise…) et en opérant ses propres vérifications, celles-ci étant fonction du niveau de certification désiré. Ces vérifications permettent à l’AC de garantir l’existence d’un cercle de confiance, matérialisé par l’émission d’un certificat valide.

Ensuite, ce certificat de serveur doit se composer d’un ensemble de données d’identification, comme son nom et sa localisation, son numéro de série unique, l’identité de l’Autorité de Confiance qui l’a émis, l’algorithme utilisé pour créer la signature, etc.

Enfin, il est courant qu’un certificat de serveur contienne une clé asymétrique de chiffrement, utilisée pour sécuriser les échanges entre un serveur et un client, ou entre deux serveurs. Le rattachement d’une clé publique à une clé privée permet de garantir la confidentialité des échanges et l’identité du propriétaire du serveur. On peut aussi y associer une signature électronique garantissant l’intégré des données qui sont hébergées sur le serveur.

À quels besoins répond un certificat d’authentification de serveur ?

À quels besoins répond un certificat d’authentification de serveur ?

Un certificat de serveur permet d’authentifier le propriétaire d’un serveur, de sécuriser les échanges de données – entre ce serveur et un navigateur web, entre ce serveur et un autre serveur, etc. – et de garantir la confidentialité des données échangées entre deux entités. Lorsqu’on utilise un cachet serveur, c’est l’intégrité des données ou des documents qui est assurée, car toute modification ultérieure est repérable.

Il répond donc à un besoin très concret pour les entreprises : créer un socle de confiance pour leurs utilisateurs. Pour toutes les organisations qui pratiquent l’échange des données sur le web ou qui travaillent avec des documents dématérialisés (contrats ou factures électroniques, par exemple), le certificat de serveur offre des garanties fortes quant à l’identité des propriétaires du serveur, et protège contre les risques en assurant la confidentialité des échanges ainsi que l’intégrité des données.

Puisqu’il est associé à son propriétaire, le certificat de serveur est particulièrement adapté aux besoins d’authentification des entreprises. Pour les serveurs web, une fois installé le certificat, la reconnaissance au sein des navigateurs est transparente pour les utilisateurs. Pour le certificat de cachet serveur, la configuration initiale permet ensuite la signature des documents en lots, de façon automatique. Pour faire simple, une fois l’installation et la configuration effectives, une entreprise peut automatiser ses processus et bénéficier d’un niveau de sécurité accru.

Ce qui fait du certificat de serveur une protection incontournable, à l’heure où les échanges et les services en ligne sont de plus en plus nombreux.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

De la DSP1 à la DSP2 : comment évolue la sécurité de vos transactions ?

SOMMAIRE
  • SOMMAIRE

De la DSP1 à la DSP2 : comment évolue la sécurité de vos transactions ?

Par rapport aux débuts de la directive, cette « version 2 » permet de faire évoluer les habitudes ainsi que la sécurité de tous : consommateurs, banques et prestataires. Voici comment.

Le premier cap franchi avec la DSP1

Le premier cap franchi avec la DSP1

La DSP1 (Directive sur les Services de Paiement 1) a été conçue par l’Union européenne pour réglementer les services de paiement. Cette réglementation concerne tous les États membres de l’UE ainsi que l’Espace économique européen (EEE). Elle est entrée en vigueur en décembre 2009. Objectif : encourager la concurrence entre banques/prestataires en Europe, afin de proposer de meilleurs services, et ainsi protéger les consommateurs.

Ce qu’a apporté la DSP1

La DSP1 a permis :

  • D’améliorer la sécurité des paiements et des opérations en ligne, et de limiter les risques de fraudes (notamment l’usurpation d’identité).
  • D’introduire officiellement le statut de prestataire de services de paiement (PSP), et de l’encadrer. Ainsi des sociétés autres que des banques, banques centrales et agences gouvernementales ont maintenant le droit de s’occuper de transactions financières.
  • D’établir une transparence des banques et PSP sur leurs services, leurs délais d’exécution et leurs frais (taux de charge, etc.).
  • D’accélérer la création de la SEPA (« Single Euro Payments Area »), une zone unique de paiement. Grâce à cela, les virements bancaires et prélèvements automatiques en UE et dans l’EEE sont plus faciles et moins chers.

Avec le temps, la DSP1 ne suffit plus

En conséquence, durant les dix années d’application de la DSP1, de nouveaux intermédiaires sont apparus. Par exemple, les « fintechs » (contraction de « financial technology ») offrent des services et des moyens de paiements innovants, tirant parti des applications mobiles ou d’Internet, à des prix toujours plus bas. Les transactions électroniques se multiplient de plus en plus, entraînant une  incertitude grandissante sur la sécurité des paiements et autres opérations en ligne (dont l’usurpation d’identité constitue la menace numéro une).

La sécurité au cœur des changements par rapport à la DSP1

La sécurité au cœur des changements par rapport à la DSP1

La sécurité et la confidentialité des données sont devenues la préoccupation principale de tous, qu’il s’agisse d’échanges entre entreprises, ou entre entreprises et particuliers. Selon les normes établies par la DSP1, un niveau d’authentification dit « faible » demeure acceptable. Sauf qu’avec toujours plus de nouveaux moyens de paiement, de nouveaux intervenants et de nouvelles offres en la matière, les possibilités de fraude et de perte de visibilité grandissent.

Malheureusement, la DSP1 n’impose aucune condition concernant le niveau de vérification d’une identité, lors d’un paiement ou d’un virement. Un simple mot de passe ou une question secrète suffisent pour respecter la réglementation. Or cela n’est plus assez maintenant.

Aujourd’hui, si les utilisateurs, les banques et les prestataires veulent assurer la privacité et la sécurité de leurs transactions, il faut passer par une authentification « forte ». Il faut pouvoir vérifier au moins doublement l’identité digitale d’un interlocuteur afin d’autoriser une opération, et ainsi maintenir une confiance réciproque. C’est là qu’entre en jeu la DSP2.

L’authentification forte, une obligation de la DSP2

L’authentification forte, une obligation de la DSP2

Qu’il s’agisse d’un achat, d’une procédure administrative ou d’un échange de données, il faut d’autant plus garantir que l’interlocuteur correspond bien à la personne physique ou morale attendue. C’est pourquoi à partir de septembre 2019, l’authentification forte va devenir une obligation.

Une authentification multi-facteurs

L’authentification forte est également appelée « authentification multi-facteurs », et il n’y a rien de plus sécurisé à l’heure actuelle. Pour prouver son identité en ligne, il faudra maintenant s’identifier via deux facteurs minimum, et non plus un seul comme sous l’application de la DSP1. Il faut au moins deux des trois preuves suivantes :

  • Une information connue de l’interlocuteur seul (l’habituel mot de passe, la réponse à une question secrète, etc.) ;
  • La reconnaissance d’un équipement électronique appartenant à l’utilisateur (smartphone, ordinateur, clé USB, carte à puce, carte magnétique, certificat électronique, etc.) ;
  • La biométrie physique ou comportementale de l’utilisateur, via un trait unique à chaque individu (empreinte digitale, scan rétinien, reconnaissance vocale ou faciale, etc.).

Profitons-en pour ajouter que d’autres facteurs d’authentification apparaissent peu à peu, comme la géolocalisation ou le profilage comportemental. Mais ils ne sont pas encore suffisamment employés.

Les exceptions autorisées par la DSP2

Toutefois, la DSP2 accepte des exceptions à l’authentification forte, suivant le niveau de risque, le montant ou la récurrence du paiement. Sont concernés : les opérations à risque faible et/ou à montant faible (moins de 30 €), les paiements par carte professionnelle, les abonnements et les paiements récurrents, les transactions MOTO, les listes blanches et les transactions interrégionales.

Une nouvelle dynamique dans les échanges sécurisés

Une nouvelle dynamique dans les échanges sécurisés

Avec la DSP1, l’authentification forte était facultative. En la rendant obligatoire, la DSP2 a un impact conséquent sur la santé et le fonctionnement du système de paiement en vigueur.

Du côté des consommateurs

Du côté des consommateurs, la directive 2 :

  • Interdit la surfacturation, autrement dit l’application de suppléments sur les paiements par carte bancaire. Cette interdiction vaut aussi bien pour les achats en ligne que dans un commerce physique.
  • Aide à restaurer la confiance des consommateurs dans les achats en ligne de biens et de services. Les gens usent de plus en plus du paiement instantané, mobile ou sans contact. La DSP2 permet de lutter plus efficacement contre la fraude, et de confirmer l’identité de l’utilisateur quel que soit le type de transaction (à distance ou de proximité) et le support employé.

Selon Valdis Dombrovskis, le vice-président de la Commission chargé de la stabilité financière, des services financiers et de l’union des marchés des capitaux : « Les consommateurs de l’UE pourraient économiser plus de 550 millions d’euros par an. »

Les conséquences pour les banques et les prestataires

Les conséquences pour les banques et les prestataires

Du côté des  banques et des nouveaux acteurs fintech du paiement, la DSP2 :

  • Encourage toujours plus l’innovation ;
  • Plus que la DSP1, elle renforce la compétition avec les nouveaux prestataires (notamment les fameuses fintechs) ;
  • Enfin, elle oblige les banques et prestataires de services de paiement à partager leurs données de transaction. Si des clients souhaitent faire migrer leurs comptes vers de nouveaux opérateurs financiers, leur démarche est facilitée. Plus que la DSP1, la DSP2 favorise donc une concurrence équitable dans un marché en constante évolution.

La prise en compte de nouvelles prestations

La prise en compte de nouvelles prestations

Depuis la création de la DSP1, les besoins et les technologies ont beaucoup évolué. Les nouvelles règles de la directive 2, notamment sur la facilité des échanges de données, permettent de réglementer deux nouveaux types de services de paiement :

  • Les services d’initiation de paiement (statut PISP) : le prestataire permet aux nouveaux acteurs d’initier des paiements au nom du payeur. En clair, cela veut dire qu’au lieu de donner l’ordre de paiement à sa banque, l’utilisateur peut passer par le PISP, qui va à son tour faire la demande à la banque.
  • Les services d’information sur les comptes (statut AISP) : ici, le prestataire permet aux nouveaux acteurs de consulter leurs comptes de manière centralisée. Via une interface unique (application, portail web, etc.), l’utilisateur peut consulter les soldes et les transactions d’un ou de plusieurs comptes issus de banques différentes.

La mise en place de nouvelles infrastructures

La mise en place de nouvelles infrastructures

C’est un gros changement par rapport au temps de la DSP1. Pour que tout ceci fonctionne, les banques et les PSP sont forcées de mettre en place de nouvelles infrastructures. Pour s’y conformer, banques et fintechs doivent :

Échanger via des API

Les API (« Applications Programming Interface ») offrent un canal de communication sécurisé. Il faut donc qu’elles adaptent leurs structures informatiques en conséquence. C’est via ces API que les prestataires de services de paiement peuvent accéder aux données bancaires des consommateurs, et/ou autoriser des règlements.

Obtenir les certificats électroniques appropriés

Ces certificats permettent d’échanger des données sécurisées entre leurs serveurs et ceux des PSP (ou des agrégateurs d’informations). Deux types de certificats sont requis par la DSP2 :

  • Le certificat eIDAS QWAC (qui veut dire « Qualified Website Authentication Certificate »). Il permet aux serveurs d’un PSP et d’une banque de s’authentifier l’un l’autre.
  • Le certificat eIDAS Qseal (pour « Qualified electronic Seal Certificate »). Il permet aux serveurs de sécuriser une transaction.

Ces certificats permettent en outre la traçabilité des échanges.

Le label eIDAS est la meilleure garantie de qualité et de sécurité pour l’identification électronique, les services de confiance et l’échange de documents numériques. Seuls des prestataires approuvés par l’Europe, ou QTSP (« Qualified Trust Service Providers ») peuvent founir ces certificats QWAC et QSEAL. CertEurope fait partie des meilleurs prestataires de confiance reconnus. Elle fait d’ailleurs partie de la liste de confiance des QTSP de l’Open Banking Europe.

La DSP2 pousse donc davantage le principe établi par sa grande sœur la DSP1. Les échanges d’informations entre consommateurs, banques et PSP sont encore simplifiés, et leur sécurité est accrue.

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Certificat SSL

Protégez les données personnelles et assurez la sécurité et la confidentialité des transactions de votre site Web ou
e-commerce de votre entreprise

Certificat DSP2

Ce type de certificat utilisé par les banques et les prestataires de services de paiement pour assurer la sécurité des données échangées

Le certificat de signature électronique

SOMMAIRE
  • SOMMAIRE

Le certificat de signature électronique : l’incontournable prérequis pour signer électroniquement des documents

La signature électronique revêt de multiples avantages. Temps gagné, échanges simplifiés, sécurité accrue, intégrité des documents garantie, économies réalisées… Elle est aussi la clé de la transformation digitale des entreprises. D’autant plus depuis qu’elle est obligatoire dans certains contextes. Par exemple pour répondre aux appels d’offres des marchés publics. Mais que faut-il pour signer électroniquement des documents ? C’est là que les choses se compliquent. Pour cela, vous avez besoin de deux éléments : un certificat de signature électronique pour vous authentifier, et un outil de signature permettant d’apposer celle-ci sur les fichiers souhaités. Explications.

Qu’est-ce qu’un certificat de signature électronique ?

Qu’est-ce qu’un certificat de signature électronique ?

Avez-vous déjà entendu parler de la signature électronique ? Il s’agit d’un outil immatériel permettant de signer des documents digitaux directement sur un ordinateur ou tout autre appareil connecté. Vous l’avez probablement déjà utilisée dans bon nombre de démarches en ligne. Telle que la souscription d’un abonnement à un service, d’une assurance ou autre. Dans sa forme la plus simple, vous avez préalablement rentré des informations sur votre identité, puis donné votre consentement en cochant une case.

La signature électronique est encadrée par le règlement européen eIDAS qui définit plusieurs niveaux de sécurité et de fiabilité : simple, avancé et qualifié. Néanmoins, toutes les signatures n’ont pas la même valeur. Certains types de documents requièrent l’emploi d’une signature électronique qualifiée. C’est le niveau de sécurité et de fiabilité maximal prévu par eIDAS. Les documents concernées sont les actes d’avocats, les ordres de virement émis par les entreprises, les factures ou les réponses aux appels d’offres publics.

C’est là que le certificat de signature électronique entre en jeu. Par abus de langage, on omet souvent de préciser qu’il s’agit d’un certificat de signature électronique qualifiée. C’est lui qui fait le lien de manière certaine entre le signataire et sa signature. Nominatif et unique, ce certificat est remis à une personne physique après vérification des documents justificatifs et de l’identité de la personne en face-à-face. Cette personne va s’en servir pour signer électroniquement des documents. Et ainsi engager l’entreprise dans sa globalité. De la sorte, le certificat de signature électronique s’assimile à une véritable carte d’identité digitale. Parce que sa délivrance est soumise à des processus stricts, elle implique une vérification physique de l’identité de la personne. Il prend la forme d’un fichier contenant des informations au sujet du signataire, ainsi qu’une clé de cryptographie permettant de réaliser des opérations de signature.

Qu’est-ce qu’un outil de signature électronique ?

Qu’est-ce qu’un outil de signature électronique ?

Si le certificat de signature électronique est la carte d’identité du signataire, l’outil de signature est l’incontournable « stylo numérique » avec lequel le représentant de l’entreprise peut signer tous les fichiers souhaités. L’outil récupère les informations contenues dans le certificat à l’aide d’un moteur de signature et les appose sur les documents, le tout par le biais d’un processus automatique.

L’outil de signature permet de…

  • Sceller l’engagement du signataire de manière irrévocable, de telle sorte qu’il ne puisse pas contester sa signature ou nier avoir envoyé le document signé (de la même façon qu’il est impossible de remettre en cause une signature manuscrite) ;
  • Garantir l’intégrité du document signé, en fournissant une preuve qu’il n’a pas été modifié ni altéré entre le moment où la signature a été apposée et l’instant où il a été consulté par son destinataire.

Le logiciel fonctionne ainsi comme un prolongement du certificat de signature électronique, dans la mesure où il s’appuie sur les données du certificat pour authentifier le signataire, prouver qu’il a bien signé le document, et figer ce dernier afin d’empêcher toute altération ultérieure. Il permet également d’automatiser le processus et de signer un ou plusieurs document(s) en ligne en quelques clics, sans échanges d’emails, sans avoir à imprimer des tonnes de papier et les envoyer par courrier. Le tout en conformité avec le règlement eIDAS.

Pourquoi est-il si important ?

Pourquoi est-il si important ?

Le certificat de signature électronique garantit l’identité du signataire, tandis que le logiciel de signature permet de sceller l’engagement et de s’assurer de l’intégrité du document signé. L’un ne va donc pas sans l’autre. Néanmoins, le certificat est indispensable de base, parce qu’il détermine la validité de la signature électronique, sa fiabilité, et son niveau de sécurité.

Ce certificat de signature électronique est délivré par un prestataire privé de certification électronique qualifié, notamment une Autorité de Certification comme CertEurope. Ce prestataire procède à un certain nombre de vérifications de l’identité du demandeur en fonction du niveau de sécurité souhaité, depuis l’envoi d’un simple email pour les procédures souples, jusqu’à la nécessité d’une rencontre physique entre le demandeur et le représentant du prestataire dans le cadre du processus de certification le plus rigoureux. Ces niveaux de sécurité correspondent à des niveaux de fiabilité et de garantie déterminés par le règlement eIDAS. Ils confèrent à la signature électronique une certaine valeur juridique.

En France, les Autorités de Certification s’appuient également sur le référentiel général de sécurité (RGS) afin d’assigner à chaque signature un niveau de qualité de certification. Le RGS se décompose lui aussi en trois étages : élémentaire (RGS*), standard (RGS**) ou renforcé (RGS***). Participer aux appels d’offres de marchés publics suppose, par exemple, de posséder a minima un certificat de signature électronique RGS** ou un certificat électronique qualifié eIDAS.

 

CertEurope vous propose des certificats de signature électronique conformes au règlement eIDAS et au référentiel RGS, en fonction des besoins de votre entreprise et du risque qui pèse sur vos documents. Ainsi qu’une plateforme de signature conçue spécifiquement pour garantir la sécurité et l’intégrité des fichiers. Choisissez le certificat adapté… et vous pourrez compter sur l’outil de signature le plus pertinent pour en tirer le meilleur parti !

Dématérialisation des marchés publics : quel impact sur votre entreprise

SOMMAIRE
  • SOMMAIRE

Dématérialisation des marchés publics : quel impact sur votre entreprise ?

La dématérialisation est en route. La facturation électronique est progressivement en train de s’imposer pour tous les fournisseurs des entités publiques. En effet, la digitalisation des appels d’offres publics est effective pour l’ensemble des entreprises depuis le 1er octobre 2018. Ce changement contribue à simplifier et accélérer le processus de participation aux marchés publics. Et ce tout en permettant aux candidats de faire des économies sur les frais d’impression et d’envoi. Mais, concrètement, comment cette dématérialisation des marchés publics impacte-t-elle votre entreprise ? Quelles sont les nouveautés à intégrer ? Faisons le point ensemble.

Dématérialisation des marchés publics : l’obligation de transmettre vos documents par voie électronique

Dématérialisation des marchés publics : l’obligation de transmettre vos documents par voie électronique

Le 1er octobre 2018, la dématérialisation des marchés publics s’est imposée à tous. Depuis cette date, les marchés publics d’une valeur égale ou supérieure à 25 000 € hors taxes doivent obligatoirement être publiés sur une plateforme en ligne, via des « profils d’acheteurs ». Cette mesure existait déjà avant le 1er octobre, puisque les marchés dont le montant estimé dépassait 90 000 € HT étaient déjà soumis à cette obligation.

Conséquemment, cette dématérialisation des marchés publics s’impose également aux entreprises souhaitant répondre aux appels d’offres. Désormais, tous les échanges doivent passer par la voie électronique, à savoir :

  • La publication en ligne des documents de consultation par les entités publiques qui lancent les appels d’offres ;
  • La transmission des candidatures par les entreprises, via des profils acheteurs sécurisés ;
  • Les communications entre les entités publiques et les entreprises candidates ;
  • Les notifications qui suivent les prises de décision.

La clé de voûte de cette dématérialisation des marchés publics, c’est le profil acheteur. Propre à chaque entité publique désireuse de lancer des appels d’offres, ce profil s’apparente à une plateforme. Sur laquelle les entreprises peuvent : 

  • trouver toutes les informations concernant les marchés publics
  • consulter les documents qui décrivent la prestation demandée
  • transmettre les pièces exigées pour participer à l’appel d’offres
  • échanger avec l’acheteur à tout moment.

La signature électronique pour valider l’offre finale

La signature électronique pour valider l’offre finale

La dématérialisation des marchés publics a un autre impact sur le processus de participation aux appels d’offres : elle suppose l’usage de la signature électronique dans certains cas de figure.

La signature électronique n’est pas une obligation absolue. Elle est facultative lors de l’envoi des documents nécessaires à votre candidature, sauf si l’acheteur le réclame expressément – le cas échéant, cette obligation est stipulée dans le règlement de la consultation ou dans l’avis de marché, et le défaut de signature rend alors l’offre irrégulière. L’utilisation de la signature dématérialisée est imposée uniquement pour valider l’offre finale, donc une fois que vous avez remporté l’appel d’offres. Néanmoins, il est fortement conseillé aux entreprises qui souhaitent participer à des marchés publics de signer électroniquement les documents déposés sur les profils d’acheteurs, afin de garantir leur sécurité, leur intégrité et leur confidentialité.

Pour signer électroniquement des documents, vous devez d’abord obtenir un certificat de signature électronique. Ce certificat, délivré par une Autorité de Certification comme CertEurope, est une attestation électronique associée à une personne physique et répondant aux exigences du règlement eIDAS. La signature elle-même doit être apposée sur le fichier souhaité à l’aide d’un parapheur digital.

Ce document numérique permet d’authentifier la personne signataire et de garantir l’intégrité des documents (les altérations éventuelles sont immédiatement identifiables). S’il existe différents niveaux de sécurité, notez que seules sont autorisées, dans le cadre de la dématérialisation des marchés publics, les signatures électroniques de niveau 3 (signature avancée avec certificat qualifié) et 4 (signature qualifiée). Si vous possédez déjà un certificat RGS, notez que l’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique a mis fin à son utilisation dans le cadre des marchés publics, mais qu’il reste accepté le temps de sa validité au-delà du 1er octobre.

Les avantages de la dématérialisation des marchés publics

Les avantages de la dématérialisation des marchés publics

Cette vaste entreprise de digitalisation, si elle vous contraint à une période d’adaptation, revêt également de nombreux avantages. La dématérialisation des marchés publics permet en effet d’appliquer le principe du « Dites-le une fois » dans le cadre de vos démarches : tous les documents encore valides que vous avez déjà transmis (pour participer à un précédent appel d’offres, par exemple), ainsi que les pièces fournies à d’autres organismes publics, ne vous seront pas demandés une seconde fois. C’est un énorme gain de temps.

C’est aussi l’occasion de faire des économies. La dématérialisation permet de se passer complètement des échanges papier. Vous y gagnez donc sur les frais d’impression et d’envoi.

En outre, le portail digital mis en place par l’administration est 100 % sécurisé. Il garantit la sécurité, la confidentialité, l’intégrité et la traçabilité des échanges.

 

La dématérialisation s’étend jusqu’à la facturation

La dématérialisation s’étend jusqu’à la facturation

Nous l’avons vu : tout le processus, depuis la candidature jusqu’à l’acceptation de la prestation, se fait désormais en ligne. Et cette volonté de dématérialisation des marchés publics ne s’arrête pas là, puisqu’elle concerne également l’après-prestation : la ou les facture(s) émise(s) en relation avec la mission réalisée doi(ven)t être transmise(s) également par la voie électronique.

Cette obligation est progressivement étendue à l’ensemble des entreprises qui fournissent les entités publiques ; elle sera complétée au 1er janvier 2020 lorsque les micro-entreprises seront également concernées. Là encore, une plateforme dédiée permet de simplifier la procédure de facturation électronique : Chorus Pro. De quoi vous inciter à vous passer complètement des documents papier, y compris dans le cadre de vos échanges de documents avec les entreprises privées !

eIDAS : comment le règlement européen impacte-t-il votre entreprise ?

SOMMAIRE
  • SOMMAIRE

eIDAS : comment le règlement européen impacte-t-il votre entreprise ?

La confiance numérique a pour objectif de garantir la confiance mutuelle entre des parties qui réalisent une transaction électronique, telle qu’un acte commercial, une procédure administrative ou un échange d’informations. Cette confiance n’est possible que s’il existe, à la base, l’assurance que ces parties disposent d’une identité qu’elles reconnaissent mutuellement. Il en va ainsi de la signature électronique, dont le succès repose sur la confiance numérique. Depuis 2014, celle-ci est encadrée par le règlement eIDAS, première étape d’un vaste plan d’harmonisation des transactions numériques visant à favoriser l’interopérabilité entre les États membres de l’Union européenne. Qu’est-ce que eIDAS, exactement ? Et dans quelle mesure ce règlement impacte-t-il votre entreprise ? 

eIDAS ou l’indispensable socle de confiance pour la signature électronique

eIDAS ou l’indispensable socle de confiance pour la signature électronique

Le règlement eIDAS (electronic Identification, Authentification and trust Services), c’est le Règlement européen portant sur l’identification numérique et les services de confiance dans le cadre des transactions électroniques. Ce texte instaure un cadre réglementaire permettant d’accroître la confiance dans les transactions dématérialisées au sein du marché européen, et s’applique pareillement à tous les pays de l’UE, sans transposition dans le droit national. Son objectif : favoriser les échanges électroniques entre les pays européens, notamment en encadrant l’utilisation de la signature électronique et en proposant un socle sécuritaire commun pour les transmissions de données entre citoyens, entreprises et autorités.

Entré en vigueur en septembre 2014, appliqué à partir du 1er juillet 2016, le règlement eIDAS s’est substitué à une précédente directive européenne relative à la signature électronique (1999/93/CE), devenue caduque.

En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) est l’organisme national chargé de la mise en œuvre du règlement eIDAS. L’Agence joue le double rôle d’organe de contrôle (pour les services de confiance) et de garant de la sécurité (pour l’identification électronique). Depuis le 1er juillet 2017, date d’expiration du délai de transition, les prestataires de services de confiance sont dans l’obligation de transmettre à cet organisme un rapport attestant de leur mise en conformité avec les exigences du règlement eIDAS.

Qu’apporte l’eIDAS par rapport à la précédente directive ?

Qu’apporte l’eIDAS par rapport à la précédente directive ?

Le règlement eIDAS représente, pour la signature électronique, un cadre exigeant qui permet de contrôler les fournisseurs de services de confiance et de garantir la sécurité des transactions entre usagers, prestataires et autorités administratives. Et surtout, un cadre commun à tous les pays membres, favorisant l’interopérabilité entre les nations de l’UE pour tout ce qui a trait aux problématiques de signature électronique, d’authentification, d’horodatage, de préservation des documents et d’envoi de courriers recommandés dématérialisés.

À ce titre, eIDAS est venu compléter la directive de 1999 sur plusieurs points. Le règlement :

  • Normalise le marché électronique dans l’Union ;
  • Contribue à rendre ce marché plus transparent, donc digne de confiance ;
  • Sécurise les transactions électroniques entre États membres ;
  • Permet la traçabilité des échanges ;
  • Ambitionne de simplifier les démarches administratives en incitant les pays membres à dématérialiser leurs processus, facilitant ainsi l’installation des citoyens dans l’une ou l’autre des nations européennes ;
  • Vise à réduire les formalités administratives auxquelles les entreprises doivent se plier, ce qui leur permet de gagner du temps et de réduire leurs dépenses de fonctionnement.

Attention, toutefois : eIDAS n’est qu’un socle. Sur celui-ci viennent s’élever des normes et des spécifications. En l’occurrence, c’est l’ETSI (European Telecommunications Standards Institute), basé à Sophia Antipolis en France, qui est chargé de produire des normes applicables à l’ensemble des pays de l’Union. Un unique organisme de normalisation permet ainsi de simplifier la tâche de mise en conformité des entreprises et des autorités.

En quoi eIDAS impacte-t-il votre entreprise ?

En quoi eIDAS impacte-t-il votre entreprise ?

Si votre entreprise utilise la signature électronique, alors le règlement eIDAS vous impacte directement. Pour assurer la valeur légale des documents que vous signez ou faites signer électroniquement, vous devez vous assurer que la signature électronique utilisée est conforme à la réglementation eIDAS. Sinon, la valeur légale de vos processus de signature n’est pas garantie.

Le type de signature électronique

Le type de signature électronique

Le règlement eIDAS uniformise les transactions électroniques au sein des États membres en proposant trois niveaux de fiabilité et de garantie pour la signature électronique :

  • La signature électronique simple: elle permet d’authentifier des documents qui présentent un risque évalué comme faible ou moyen (contrat d’assurance, note de frais, souscription à un service…).
  • La signature électronique avancée: elle offre le même niveau de fiabilité et de garantie que la signature simple.
  • La signature électronique qualifiée: elle permet d’authentifier des documents qui présentent un risque élevé (factures, réponses aux appels de marchés publics, validations d’opérations bancaires B2B…).

Le règlement eIDAS a également introduit un quatrième type de signature : un « sceau numérique ». Réservé aux personnes morales, il garantit l’origine et l’intégrité des données associées, mais sans prouver le consentement du signataire. (Source : Dalloz)

Le niveau de sécurité

Le niveau de sécurité

Le règlement eIDAS définit également trois niveaux de sécurité pour les schémas d’authentification :

  • Le niveau « faible » réduit le risque d’usurpation, mais n’offre qu’un niveau de confiance limité : le signataire doit seulement être propriétaire de son adresse mail.
  • Le niveau « substantiel » réduit substantiellement ce risque : le signataire doit démontrer que l’adresse mail lui appartient et prouver son identité.
  • Le niveau « élevé » gomme tout à fait le risque et offre un niveau de confiance élevé : l’identité du signataire est prouvée, ainsi que l’organisation qu’il représente.

Le processus de création de la signature électronique

Le processus de création de la signature électronique

Enfin, pour garantir la conformité de la signature électronique avec les exigences du règlement eIDAS, celle-ci doit être créée sur la base d’un certificat numérique généré par un Tiers de Confiance : une Autorité de Certification comme CertEurope.

En tant qu’Autorité de Certification, CertEurope vous assure que les certificats utilisés pour créer une signature électronique sont conformes au règlement eIDAS. Choisir un Tiers de Confiance vous donne donc l’assurance que les documents signés électroniquement disposent d’une valeur légale reconnue.

Les aspects et avantages de la dématérialisation de documents

SOMMAIRE
  • SOMMAIRE

Les aspects et avantages de la dématérialisation de documents

dématérialisation de documents

Le document électronique s’implante dans les relations commerciales et administratives. Carte d’identité, contrats, bons de commande, signature, documents juridiques, factures, déclarations fiscales, appels d’offres, bulletins de vote, etc. Pour le moment, on peut donner à tous les documents commerciaux ou administratifs leur équivalent électronique.

Et ceci a des fins de simple archivage ou pour la constitution de preuve. Il remplace peu à peu le document papier et partage dans la foulée la même valeur juridique ou de preuve que son homologue. 

En effet, les documents électroniques permettent de jouer un rôle équivalent à ceux des documents papier vis-à-vis de la loi. Mais lorsque les caractéristiques qui leur confèrent ce rôle n’existent pas lors de la dématérialisation des documents, la conservation des originaux en papier est obligatoire.

Dématérialisation de documents en France, une obligation légale

La dématérialisation en France, une obligation légale

Au regard du code des marchés publics, la dématérialisation est obligatoire pour les marchés dont le montant est supérieur à 90 000 € HT. 

Autrement dit, le pouvoir adjudicateur ne doit accepter pour les marchés importants que les candidatures transmises par voie électronique. L’acheteur peut accéder à une plate-forme et créer un profil acheteur, sur lequel il publie les dossiers de consultation des entreprises (DCE) et les avis d’appel public à la concurrence (AAPC).

Le code des marchés publics aborde plusieurs points importants tels que :

  • la possibilité de recourir à la signature électronique (Article 44-I, Article 48, Article 80-I-3º) ;
  • la définition du profil d’acheteur (Article 39) ;
  • la validité des offres reçues (Article 48) ;
  • la méthode de sélection des offres (Article 54) ;
  • le système d’acquisition dynamique (Article 78).

Au cœur de la dématérialisation de documents : la signature électronique

La signature électronique au cœur de la dématérialisation

La signature électronique est l’élément de preuve le plus important. Il confère la même valeur juridique qu’aux documents papier à son équivalent électronique. La signature électronique permet de remplir les exigences en matière de confiance numérique et de valeur juridique. Elle permet aussi au destinataire d’identifier l’auteur du document reçu et également de garantir sa non-altération pendant le transfert. Signer un document électronique implique un certificat octroyé par une Autorité de Certification. Celui-ci identifie le signataire et garantie qu’il est l’auteur du document.

Le certificat électronique peut être se délivrer par une administration. Mais aussi par une grande entreprise à ses salariés. Il a pour but d’échanger les documents par voie électronique. La validité juridique de la signature électronique dans la dématérialisation des documents se définie par l’article 1316-4 du Code civil.

L’appel d’offres et la facturation sont les deux principaux échanges auxquels la dématérialisation est devenue courante. À noter qu’un document papier scanné n’a pas de valeur juridique.

Validité d’un document électronique

Validité d’un document électronique

Pour valider un document, deux conditions : l’apposition d’une d’une signature électronique et la validité du certificat du porteur. 

Afin de garantir la validité du certificat accompagnant le document, la signature s’horodate. La signature s’associe à un jeton d’horodatage qu’une Autorité d’Horodatage délivre au moment où on envoie le document. Le document électronique peut revêtir plusieurs aspects et on peut dématérialiser tout type d’échanges. De simples mails avec accusé de réception électronique à valeur légale aux échanges commerciaux, en passant par les lettres recommandées dématérialisées.

D’importants aspects juridiques et législatifs dans les échanges commerciaux

Les échanges commerciaux avec d’importants aspects juridiques et législatifs

Les aspects juridiques et législatifs de la dématérialisation de documents sont plus importants dans les échanges commerciaux. Notamment l’appel d’offres et la facturation. Depuis le 1er janvier 2005, le Code des marchés publics (CMP) autorise la télétransmission par voie électronique. Cela remplace des échanges de documents papier pour les procédures de passation des marchés publics. Pour la facturation, la dématérialisation peut être totale si les conditions requises par le Code général des impôts se respectent. La dématérialisation fiscale ne requiert pas la conservation de support papier.

Les documents dématérialisés se conservent sur des systèmes d’archivage électronique qui répondent à la norme NF Z 42-013. L’archivage à valeur probante permet aux documents de s’utiliser en cas de litige ou de demande d’un tribunal pour faire-valoir de preuve.

Contrôle de la légalité dématérialisé

Le contrôle de la légalité dématérialisé

Le contrôle de légalité est une procédure par voie électronique en France qui permet d’assurer la conformité à la loi des actes des collectivités territoriales et certains établissements publics. Le représentant de l’État assure cette tâche, tel que le préfet au niveau des collectivités territoriales, depuis que le contrôle de légalité remplace la tutelle administrative d’après la loi de décentralisation du 2 mars 1982.

Le projet ACTES

Le projet ACTES

Le projet ACTES (Aide au Contrôle de légalité dématérialisé) s’inscrit dans le cadre de la modernisation de l’État. Il permet d’introduire les collectivités territoriales dans l’e-administration. Et ce grâce à la dématérialisation de la transmission des actes réglementaires et actes budgétaires pour leur conformité à la loi en égard à la libre administration des collectivités territoriales. Développé par le Ministère de l’Intérieur et de l’Aménagement du Territoire (MIAT) pour dématérialiser les transferts des actes après être rédigés sous format numérique. Le contrôle de légalité porte essentiellement sur des documents, comme les arrêtés ou les délibérations, créés par les collectivités territoriales et leurs établissements publics (EPCI).

Actes concernés par le contrôle de légalité

Les actes concernés par le contrôle de légalité

Le contrôle de légalité s’effectue sur certains actes administratifs du Code général des collectivités territoriales (CGCT). Par exemple, certaines décisions municipales, les marchés publics, les décisions liées aux fonctionnaires territoriaux, les permis de construire et certificats d’urbanisme. Cependant, les actes pris au nom de l’État, les actes de droit privé ou encore les décisions sur les marchés publics dont le montant est inférieur au seuil fixé par la CGCT manque de contrôle.

Le contrôle de légalité des préfets porte sur les actes créés par les collectivités territoriales (communes, départements, régions), par les établissements publics locaux (notamment les EPCI), par les sociétés d’économie mixte locales et par les mandataires.

Télétransmission des actes

Télétransmission des actes

Les collectivités territoriales et leurs établissements publics doivent transmettre :

  • arrêtés
  • contrats
  • délibérations
  • conventions
  • documents budgétaires

Et ce selon leur localisation et leur nature aux services préfectoraux. Le but ? Que les agents de l’état puissent vérifier leur conformité à la loi. Pour télétransmettre les actes, deux choix s’offrent aux collectivités mais en respect du cahier des charges du 26 octobre 2005.

Les collectivités territoriales peuvent utiliser leurpropre dispositif ou passer par un tiers de télétransmission. Ces plateformes de télétransmission des actes sont homologuées par le Ministère de l’Intérieur et permettent de gérer les actes et autres flux administratifs aux services de l’Etat. Elles ont préalablement signé une convention de raccordement avec le MIAT comme étant le seul interlocuteur du MIAT aux collectivités territoriales dans le projet ACTES.

Gagner ses marchés publics, la vraie raison de dématérialiser

Gagner ses marchés publics, la vraie raison de dématérialiser

La dématérialisation des marchés publics est aujourd’hui une pratique parfaitement intégrée des acheteurs publics. Courant 2016 et moyennant une période transitoire, l’Union Européenne entend faire de la transmission des offres par voie électronique la règle. En restant au papier, les entreprises cumulent les pertes. En coût, en temps, en savoir-faire et bien évidemment en contrats. Elles ont au contraire tout à gagner avec la dématérialisation.

La dématérialisation de documents améliore les relations avec l’acheteur

La dématérialisation de documents améliore les relations avec l’acheteur

Une fois n’est pas coutume, les acheteurs publics ont pris le train de la modernisation plus vite que la grande majorité des entreprises françaises. Certes le phénomène est dû en grande partie à une impulsion ferme donnée par l’Etat, fer de lance de l’achat dématérialisé. Mais force est de constater l’effort généralisé des collectivités et des établissements publics pour se doter de profils acheteurs.

Ce mouvement d’ensemble s’accompagne maintenant d’une prise de conscience tout à fait remarquable de la nécessité d’améliorer l’accès aux avis d’appel d’offres. La dispersion de l’information ne permet pas, notamment aux PME et TPE, de disposer d’une vision exhaustive des affaires propres à leur territoire d’intervention. Aussi les collectivités mutualisent-elles de plus en plus leurs avis au travers de plateformes de dimension régionale, départementale ou reprenant le schéma territorial d’une agglomération.

Des initiatives qui doivent être saluées, car elles se font dans l’intérêt général. Tous les opérateurs économiques disposent désormais d’une meilleure visibilité des marchés en cours et des moyens informatiques optimaux de veille et d’alerte. À eux aujourd’hui de s’organiser autour de la dématérialisation. S’associer à la démarche, c’est d’une part afficher sa volonté d’accompagner l’acheteur dans sa modernisation et d’autre part définitivement gagner en souplesse, qualité et réactivité.

Dématérialisation de documents : une rampe de lancement

Dématérialisation de documents : une rampe de lancement

Beaucoup de PME et de TPE préfèrent encore s’abstenir de répondre à un marché public au regard du coût engendré par la démarche et de la complexité du processus. Or l’informatisation des procédures d’appels d’offres entraine, de facto, le développement de solutions logicielles idoines, permettant aux candidats d’entrer en compétition avec toute la méthode et la rigueur qui pouvaient faire défaut sur une candidature papier.

Sur un marché, même d’un montant modeste, la réunion des éléments constitutifs d’un dossier de candidature, hors offre formelle, représente une tâche laborieuse sans grande valeur ajoutée et particulièrement chronophage. On aurait tort également de sous-estimer l’effet sur une TPE du jargon juridique et administratif inhérent à un appel d’offres.

Aujourd’hui le marché est mûr et propose aux entreprises des solutions parfaitement adaptées aux réalités administratives. Les entreprises n’ont désormais besoin que de constituer une seule fois leur dossier de candidature. Elles sont guidées et accompagnées tout au long du processus, la méthode permettant de réduire les risques de rejet d’une offre pour défaut de conformité.

Cette étape réalisée, les entreprises prennent conscience de leur capacité à répondre à plus d’appels d’offres. Mécaniquement, les chances d’en gagner augmentent. Elles industrialisent leurs réponses tout en garantissant la parfaite adéquation de leur soumission aux contraintes du marché.

Rénover les processus d’entreprise

Rénover les processus d’entreprise

Il y a derrière le choix d’entrer en compétition publique, l’idée de professionnaliser à la fois la présentation de son offre et ses processus. Une offre structurée implique la participation de nombreux collaborateurs (technique, qualité, logistique, administratif, commercial). La dématérialisation s’accompagne alors des bénéfices du travail collaboratif. L’entreprise fiabilise et harmonise le canal de réponse, et veille à la cohérence des apports au sein d’une seule offre, jusqu’à la signature électronique définitive. Les possibilités de contrôle et de traçabilité des opérations confèrent au processus les qualités d’une amélioration continue, exportables en best practices à destination de toutes les entités de l’opérateur économique.


Outre la disparition des coûts évidents de reproduction et d’envoi postaux, ce sont, on le voit, des gains immédiats de temps, de confort et d’efficacité de la collaboration. Ce sont surtout des processus pérennes en constante amélioration. L’entreprise peut alors se concentrer sur le cœur du marché public auquel elle candidate c’est-à-dire son offre.

Pour développer la concurrence

Pour développer la concurrence

Si l’entreprise choisit de s’appuyer sur une solution de dématérialisation de documents, c’est donc d’abord pour gagner un temps précieux à concevoir et à formaliser son offre. Cet aspect est à considérer avec le plus grand sérieux. Les acheteurs publics restent en effet nombreux à déplorer des réponses automatiques. Elles ne prennent pas en compte, ou insuffisamment, les spécificités des cahiers des charges et les contraintes de l’acheteur.
L’entreprise qui saura intégrer les éléments de la consultation dans son offre établira une stratégie gagnante vis-à-vis de ses compétiteurs. Elle fait ici la démonstration de sa capacité d’écoute et de prise en compte des besoins du client. Aussi banal que cela puisse paraître, les résultats aux appels d’offres montrent pourtant des réponses souvent approximatives.

Le temps d’acclimatation une fois écoulé, la dématérialisation pourra offrir d’autres opportunités intéressantes à l’entreprise innovante. Le numérique aujourd’hui permet de s’affranchir facilement des contraintes des supports et rien n’empêche d’enrichir sa réponse de contenus plus explicites ou plus attrayants comme l’image, la vidéo, la 3D ou l’audio.

La consultation publique n’est plus aujourd’hui réservée à quelques-uns. Les solutions existent. Il appartient maintenant aux entreprises, en particulier aux petites structures locales, de prendre le train en marche. Et surtout de démystifier un acte en réalité à la portée de tous. Même lorsqu’elles sont encore frileuses quand il s’agit de soumissionner à un marché public, 

Icona Top