Définitions relatives à la dématérialisation des marchés publics 

Définitions

Application logicielle pour signer :

Logiciel qui permet d’apposer sa signature sur un document électronique. Elle est aussi indispensable que le certificat.

Archivage électronique : Conservation pérenne des documents électroniques.

Authenticité : Garantie de l’identité de l’émetteur d’un document électronique ou d’un courriel.

Authentification

L’identité de l’émetteur (personne ou entité) d’un document électronique ou d’un courriel est vérifiée au moyen d’un « secret partagé ». Ce secret peut être un élément que l’émetteur connait (par exemple : mot de passe) ou possède (par exemple : carte à puce, clé cryptographique) ou est (empreinte digitale, fond de rétine). On parle d’authentification forte lorsque la vérification s’effectue au moyen de la combinaison de deux éléments de preuve (« ce que je sais, ce que je possède, ce que je suis »).

Exemple d’authentification faible / forte : usage d’un identifiant - mot de passe / usage d’un support physique personnel d’identité numérique (certificat numérique sur clé cryptographique) et du code d’activation de ce support.

En général, l’authentification suit l’identification : par l’identification, l’émetteur se fait connaitre d’un système. Donc, s’identifier c’est communiquer son identité, s’authentifier, c’est apporter la preuve de son identité.

Autorité de Certification (AC) : Selon les dispositions du RGS : « Au sein d'un PSCE, une Autorité de Certification a en charge, au nom et sous la responsabilité de ce PSCE, l'application d'au moins une politique de certification et est identifiée comme telle, en tant qu'émetteur (champ "issuer" du certificat), dans les certificats émis au titre de cette politique de certification ».

Autorité d’Enregistrement (AE) : Une Autorité d’Enregistrement a en charge la vérification de l’identité, les droits et la qualité du demandeur du certificat électronique. Ces éléments seront inscrits dans le certificat. Cette vérification se fait selon les conditions et les modalités déterminées par l’autorité de certification.

Autorité d'Horodatage (AH) : Selon les dispositions du RGS : « Au sein d'un prestataire de services d’horodatage électronique (PSHE), une Autorité d'Horodatage a en charge, au nom et sous la responsabilité de ce PSHE, l'application d'au moins une politique d'horodatage en s'appuyant sur une ou plusieurs Unités d'Horodatage ».

Autorités publiques centrales

Autorités publiques centrales au sens du Code de la commande publique

Les autorités publiques centrales sont des acheteurs mentionnées aux articles R. 2131-4, R. 2161-9, R. 2161-16 et R. 2162-50 du Code de la commande publique.

La liste des autorités publiques centrales est annexée au code de la commande publique.

Il s'agit de l'avis relatif aux seuils de procédure et à la liste des autorités publiques centrales en droit de la commande publique - NOR: ECOM2332367V (JORF n°0283 du 7 décembre 2023 / Annexe 2 du Code de la commande publique).

Autorités publiques centrales au sens de l'avis NOR: ECOM2332367V

Liste des autorités publiques centrales : Les autorités publiques centrales mentionnées aux articles R2131-4, R2161-9, R2161-16 et R2162-50 du Code de la commande publique sont les suivantes :

1° L'Etat, à l'exception des établissements du service de santé des armées ;
2° Les établissements publics de l'Etat autres que ceux ayant un caractère industriel et commercial, à l'exception des établissements publics de santé ;
3° Les autorités administratives indépendantes dotées de la personnalité juridique ;
4° La caisse des dépôts et consignations ;
5° L'ordre national de la Légion d'honneur ;
6° L'union des groupements d'achats publics (UGAP) ;
7° La fondation Carnegie ;
8° La fondation Singer-Polignac.

Bi-clé : Clé électronique constituée d’une clé publique (diffusable à tous) et d’une clé privée (gardée secrète), mathématiquement liées entre elles, utilisées dans des algorithmes de cryptographie dits à clé publique ou asymétrique.

Certificat ou certificat électronique : Selon les dispositions du RGS : « Fichier électronique attestant qu’une bi-clé appartient à une personne physique, une personne morale, un élément matériel ou un logiciel identifié, directement ou indirectement (pseudonyme). Il est délivré par un PSCE. En signant le certificat, l’AC valide le lien entre l'identité et la clé publique. Le certificat est valide pendant une durée limitée précisée dans celui-ci ».

Certificat électronique ou certificat de signature : Un certificat électronique ou certificat de signature est un document électronique qui a pour but d’authentifier l’identité de la personne signataire (carte d’identité), l’intégrité des documents échangés (protection contre toute altération) et l’assurance de non-répudiation (impossibilité de renier sa signature).

Selon l'article R2182-3 du Code de la commande publique (CCP) le marché peut être signé électroniquement, selon les modalités fixées par l’arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique qui figure en annexe du CCP. Il s'agit de signer l'acte d'engagement et/ou d'autres pièces.

Si la signature électronique est requise, les acheteurs, les autorités concédantes et les opérateurs économiques doivent utiliser une signature électronique conforme aux exigences du règlement eIDAS relatives à la signature électronique avancée reposant sur un certificat qualifié.

Les formats de signature sont XAdES, CAdES ou PAdES et sont généralement proposés par les plateformes de dématérialisation.  

Charte de nommage : Ensemble de règles, définies par l’acheteur, relatives au nom à attribuer aux fichiers constitutifs du DCE ou des plis électroniques transmis par l’entreprise candidate. Les extensions des fichiers (par exemple .doc ; .odt ; .exe) ne sont pas concernées.

Lorsque cet ensemble de règles est intégré au DCE, il devient un document contractuel et s’impose à l’acheteur comme à l’entreprise candidate. L’objectif de cette charte est de faciliter la lecture, d’une part, des documents du DCE par le candidat et, d’autre part, des plis constitutifs de la candidature et de l’offre par l’acheteur.

Chiffrement : Transformation cryptographique de données produisant un cryptogramme, en d’autres termes, action qui consiste à coder, rendre incompréhensible, le sens d’un document à l’aide d’une clé secrète produite par un algorithme cryptographique. Le but est de protéger l’information, d’en garantir la confidentialité.

Clé publique - Clé privée :

Clé publique : Clé publiable, associée à une clé privée. Elle est utilisée pour des opérations d’authentification, de chiffrement et de vérification de signature.

Clé privée : Clé gardée secrète par son titulaire, associée à une clé publique. Elle est utilisée pour des opérations d’authentification, de chiffrement et de vérification de signature.

Confidentialité : Selon l’Agence nationale de la sécurité des systèmes d'information (ANSSI), c’est la « propriété d’une information qui n’est ni disponible, ni divulguée aux personnes, entités ou processus non autorisés ». La confidentialité est garantie grâce au chiffrement : seul le destinataire de l’information possède la clé de déchiffrement.

Contremarque de temps : Selon les dispositions du RGS : « Donnée qui lie une représentation d'une information à un temps particulier, exprimé en heure UTC, établissant ainsi la preuve que l’information existait à cet instant là ».

Copie de sauvegarde

Définition de la copie de sauvegarde

La copie de sauvegarde est une copie des dossiers électroniques des candidatures et offres, destinée à se substituer, en cas d’anomalies et sous condition, aux dossiers des candidatures et des offres transmis par voie électronique.

La copie de sauvegarde est transmise à l'acheteur sur un support physique électronique (clé USB, CDROM, ...) ou papier. Il s'agit d'un double qui peut ou non faire l'objet d'une signature selon les dispositions du RC intégré au DCE.

Une transmission à l’acheteur, sur support papier ou sur support physique électronique

Le code de la commande publique prévoit que les candidats et soumissionnaires qui transmettent leurs documents par voie électronique peuvent adresser à l’acheteur, sur support papier ou sur support physique électronique, une copie de sauvegarde de ces documents établie selon des modalités fixées par un arrêté.

Cet arrêté "fixant les modalités de mise à disposition des documents de la consultation et de la copie de sauvegarde" définit les conditions d'ouverture de la copie de sauvegarde pour les marchés publics (marchés, marchés de partenariat, marchés de défense ou de sécurité) et les contrats de concession.

Les règles sont parfois rappelées dans le règlement de la consultation du marché public.

Les risques d'aléas techniques avec la dématérialisation des réponses aux appels d'offres

Votre entreprise soumissionnaire n'est pas à l'abri d'incidents techniques lors de la transmission par voie électronique de son offre.

Les sources de problèmes techniques sont multiples et même des entreprises chevronnées et habituées à l'exercice, ou mêmes spécialisées comme les sociétés d'informatique, ont déjà vu leurs plis rejetés quand l'offre est parvenue hors délai ou parfois non parvenue.

Les risques d'aléas techniques avec la dématérialisation des réponses aux appels d'offres

Les sources de risques d'aléas techniques sont divers :

Courriel (e-mail, mail)

Courriel (« e-mail », « mail ») : Selon l’Agence nationale de la sécurité des systèmes d'information (ANSSI), c’est un « document informatisé qu’un utilisateur saisit, envoie ou consulte en différé par l’intermédiaire d’un réseau.

L’adresse électronique de l’internaute (adresse e-mail) est le plus souvent composée d’un nom d’utilisateur et d’un nom de domaine séparés par un @ (exemple : dupond@certa.ssi.gouv.fr) ».

Remarques : un courriel contient le plus souvent un texte auquel peuvent être joints d’autres textes, des images ou des sons.

Par extension, le terme « courriel » et son synonyme « courrier électronique » sont employés au sens de « messagerie électronique ».

Cryptologie

Selon l’Agence nationale de la sécurité des systèmes d'information (ANSSI) : « La cryptologie, littéralement science du secret en grec, a longtemps été associée à de mystérieux enjeux d’espionnage militaire et diplomatique bien éloignés des préoccupations scientifiques habituelles.

Après s’être longtemps résumée à un jeu sans fondements théoriques profonds entre ingénieux concepteurs de codes secrets et cryptanalystes acharnés, elle s’est transformée, à l’aube du 21ème siècle, en une science dynamique à l’intersection de nombreuses autres plus orthodoxes telles que les mathématiques, l’informatique et la micro-électronique ».

DCE - Dossier de Consultation des Entreprises et documents de la consultation

Qu'est-ce que le DCE et à quoi sert-il ? Définition

Le dossier de consultation des entreprises (DCE) désigne l’ensemble des documents fournis par l’acheteur public aux opérateurs économiques dans le cadre d’une procédure de passation d’un marché public ou d’un accord-cadre (Article R2132-3 du Code de la commande publique).

Le DCE a pour objet de définir de façon précise les besoins de l’acheteur et de décrire les modalités de la consultation.

Il comporte notamment le règlement de la consultation sorte de « mode d’emploi » de la procédure de réponse pour les entreprises candidates.

Suite à la consultation de l'avis de marché, le dossier est téléchargeable au format .zip sur le profil d’acheteur c'est à dire la plateforme de dématérialisation du maitre d'ouvrage. L'adresse de téléchargement figure dans la publicité.  

Contenu du dossier de consultation des entreprises

Le dossier de consultation est obligatoirement mis à disposition via le profil d’acheteur au-delà de 40 000€ HT sauf exceptions (Article R2132-1 du Code de la commande publique) par téléchargement, en principe sous forme d'un fichier .zip compressé.

Les documents de la consultation sont l'ensemble des documents fournis par l'acheteur ou auxquels il se réfère afin de définir son besoin et de décrire les modalités de la procédure de passation, y compris l'avis d'appel à la concurrence. Les informations fournies sont suffisamment précises pour permettre aux opérateurs économiques de déterminer la nature et l'étendue du besoin et de décider de demander ou non à participer à la procédure.

Le DCE comprend généralement :

Ne sont pas fournis avec le DCE les pièces générales

Ne sont pas fournis avec le DCE les pièces générales éventuellement visées par le marché public comme :

En résumé, le DCE fournit aux entreprises soumissionnaires toutes les informations nécessaires pour répondre à la consultation de manière pertinente.

Son analyse approfondie est indispensable à l’élaboration d’une proposition gagnante.

Dématérialisation

La dématérialisation est la substitution de document ou procédures réels par des documents ou procédure numériques. D’un point de vue pratique, la dématérialisation consiste à mettre en œuvre des moyens électroniques pour effectuer des opérations de traitement, d’échange et de stockage d’informations sans support papier.

A priori, elle n’a aucun effet sur le contenu de ces informations qui restent ce qu’elles sont indépendamment de la forme que prend leur support.

La dématérialisation des marchés publics concerne de nombreux domaines comme : les communications électroniques, la signature électronique, le certificat de signature électronique, la commande publique, les contrats de concession, la transformation numérique, le DUME (ESPD pour European Single Procurement Document), e-Certis, la facturation électronique, les profils d’acheteur, les données essentielles, l’Open Data, le certificat de cessibilité dématérialisé, les documents de la consultation, la copie de sauvegarde, …

Dématérialisation des marchés publics

La dématérialisation des marchés publics permet de conclure des marchés par voie électronique.

A cette fin il existe deux possibilités :

Le plan de transformation numérique de la commande publique (PTNCP)

Un plan de transformation numérique de la commande publique a été mis en place, il fixe la feuille de route des actions à mener dans les cinq années à venir (2017-2022).

Profil d’acheteur

Introduction condensée au profil d’acheteur. Quels sont les principaux aspects, les exigences légales des fonctionnalités, pour une compréhension rapide et pratique de cette composante numérique des marchés publics ?

Le profil d’acheteur est un ensemble de moyens informatiques comprenant le portail et l’application logicielle de gestion des procédures de passation dématérialisées des marchés publics d’un acheteur public.

C’est une « salle des marchés » ou une « place de marchés » virtuelles utilisée dans la gestion électronque des appels d'offres. En pratique, il s’agit d’un site Internet, communément appelé « plateforme de dématérialisation », mis en ligne à une adresse Web. Ce site Web centralise les outils nécessaires à la dématérialisation des procédures de passation et les met à disposition, via Internet, des acheteurs et des opérateurs économiques.

Pour les entreprises qui répondent aux appels d'offres il permet de s’identifier et s’authentifier, connaitre les prérequis techniques, tester sa configuration informatique, rechercher les avis de marchés,  télécharger les documents de la consultation, déposer sa candidature et son offre de manière dématérialisée, échanger avec l’acheteur durant la procédure et contacter une assistance aux utilisateurs

Outil de développement des marchés publics électroniques cette plateforme de marchés permet notamment l'apposition de signatures numériques des contrats.

Les acheteurs doivent aussi y publier les données essentielles des contrats

PTNCP

Le plan de transformation numérique de la commande publique est un plan qui fixe la feuille de route des actions à mener dans les cinq années à venir (2017-2022).

Le PTNCP se décline en 19 actions autour de 5 axes pour la transformation numérique de la commande publique qui sont : gouvernance, simplification, interopérabilité, transparence, et archivage.

La réforme de la commande publique est entrée en vigueur au 1er avril 2016 et prévoit une dématérialisation complète des procédures de passation des marchés publics de plus de 25 000 € HT et également une publication des données essentielles des marchés publics et contrats de concessions pour le 1er octobre 2018 au plus tard.

PSCE - Prestataire de services de certification électronique

Prestataire de services de certification électronique (PSCE) : Selon les dispositions du RGS : « Toute personne ou entité qui est responsable de la gestion de certificats électroniques tout au long de leur cycle de vie, vis-à-vis des porteurs et utilisateurs de ces certificats.

Un PSCE peut fournir différentes familles de certificats correspondant à des finalités différentes et/ou des niveaux de sécurité différents.

Un PSCE comporte au moins une AC mais peut en comporter plusieurs en fonction de son organisation.

Les différentes AC d'un PSCE peuvent être indépendantes les unes des autres et/ou liées par des liens hiérarchiques ou autres (AC Racines / AC Filles).

Un PSCE est identifié, dans un certificat dont il a la responsabilité, au travers de son AC qui a émis ce certificat et qui est elle- même directement identifiée dans le champ "issuer" du certificat ».

RGI - Référentiel Général d'Interopérabilité

Le RGI est un cadre de recommandations référençant des normes et standards qui favorisent l'interopérabilité au sein des systèmes d'information de l'administration.

Ces recommandations constituent les objectifs à atteindre pour favoriser l'interopérabilité.

Elles permettent aux acteurs cherchant à interagir et donc à favoriser l'interopérabilité de leur système d'information, d’aller au-delà de simples arrangements bilatéraux.

Voir : arrêté du 9 novembre 2009 portant approbation du référentiel général d'interopérabilité. La version 1.0 du RGI, publiée le 12 juin 2009, est la version en vigueur du RGI.

RGS - Référentiel Général de Sécurité

Le RGS est un ensemble de règles de sécurité qui s'imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information.

Il propose également des bonnes pratiques en matière de sécurité des systèmes d’information que les autorités administratives sont libres d’appliquer.

Le RGS a été approuvé par arrêté au Journal officiel le 18 mai 2010 (Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques).

Signataire : Toute personne physique, agissant pour son propre compte ou pour celui de la personne physique ou morale qu'elle représente, qui met en œuvre un dispositif de création de signature électronique (Décret n°2001-272 du 30 mars 2001)

Signature

La signature, manuscrite ou électronique est définie par l’article 1316-4 du code civil : « La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte.

Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'État. »

Signature électronique

La signature électronique se substitue à la signature manuscrite et permet d’identifier le signataire. Les documents transmis par voie électronique doivent être signés électroniquement si une signature est requise. Les exigences sont formulées par l'acheteur public dans le règlement de la consultation.

Pour signer des pièces électroniquement il est nécessaire de disposer d'un certificat de signature électronique ainsi que d'une application logicielle de signature. Toutefois, l’intéressé n’a pas besoin de disposer d’une application logicielle de signature s’il utilise un profil d’acheteur offrant cette fonctionnalité.

Signer Il s’agit pour le signataire de garantir son identité et de s’engager vis-à-vis du contenu du document. En principe, un document sur support papier se signe à la main (au moyen d’un stylo) et un document nativement numérique se signe électroniquement (avec un certificat et une application logicielle).

Système d’information Tout ensemble de moyens destinés à élaborer, traiter, stocker ou transmettre des informations faisant l'objet d'échanges par voie électronique entre autorités administratives et usagers ainsi qu'entre autorités administratives (cf. Ordonnance n°2005-1516 du 8 décembre 2005)

Traçabilité : Suivi précis de toutes les étapes des opérations effectuées ou événements sur un système d’information, un profil d’acheteur par exemple. Ce suivi fournit, le cas échant, des preuves au cours des étapes de la procédure.

Virus :

Selon l’Agence nationale de la sécurité des systèmes d'information (ANSSI) : « Un virus est un programme ou morceau de programme malveillant dont le but est de survivre sur un système informatique (ordinateur, serveur, appareil mobile, etc.) et, bien souvent, d’en atteindre ou d’en parasiter les ressources (données, mémoire, réseau).

Le mode de survie peut prendre plusieurs formes : réplication, implantation au sein de programmes légitimes, persistance en mémoire, etc.

Pour sa propagation, un virus utilise tous les moyens disponibles : messagerie, partage de fichiers, portes dérobées, page internet frauduleuse, clés USB… »