Remarques à propos des validations faites dans e-Tendering

Il est important de remarquer, que pour des raisons légales et techniques, e-Tendering ne valide à aucun moment les éléments suivants :

Les documents transmis au pouvoir adjudicateur

Dans l’application e-Tendering, il n’y a pas de limitation quant au format des fichiers qui sont soumis.

Il est de la responsabilité du soumissionnaire de s’assurer que le pouvoir adjudicateur soit en mesure de consulter les documents chargés.

Dès lors, il est recommandé d’utiliser les formats de fichier les plus courants tels que, entre autre, le format PDF.

Enfin, le contenu d’une offre étant secret jusqu’au moment de l’ouverture, e-Tendering n’est pas en mesure d’accéder aux documents afin de les valider (extension, fichier vide, corrompu…).

Les informations transmises au pouvoir adjudicateur

Il appartient au soumissionnaire de s’assurer que les informations nécessaires au pouvoir adjudicateur sont fournies dans les temps et de manière correcte.

Le format des signatures électroniques ou les certificats utilisés

L’application e-Tendering propose deux méthodes de signature électronique des offres :

  1. Via le service eID DSS de Fedict
  2. Via le chargement du rapport de soumission signé par une application tiers (à l’extérieur d’e-Tendering)

Quel que soit la méthode utilisée, e-Tendering ne valide pas le format des signatures ou des certificats utilisés. Il revient au soumissionnaire de s’assurer que les signatures électroniques qui accompagneront ses offres sont légales.

Pour rappel, une offre qui nécessite une signature électronique doit être signée au moyen :

1) D’une signature avancée

Une signature électronique avancée est une signature électronique qui satisfait aux exigences suivantes :

  • être liée uniquement au signataire
  • permettre d'identifier le signataire
  • s’effectuer avec des données pour la création de signatures électroniques que le signataire puisse utiliser sous son contrôle exclusif avec un niveau de confiance élevé; et
  • être liée aux données qu’elle a permis de signer de telle sorte que toute modification ultérieure des données soit détectable

cf. article 26 du Règlement européen n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la Directive 1999/93/CE ...

2) … accompagnée d’un certificat qualifié valide

Autrement dit, le certificat :

  • doit satisfaire aux exigences telles que spécifiées à l’annexe 1 du Règlement européen n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la Directive 1999/93/CE
  • doit avoir une date de validité correcte
  • ne doit pas avoir été révoqué

La liste des fournisseurs de certificats qualifiés en Europe est maintenue sur la Trusted List disponible à cette adresse :

https://ec.europa.eu/digital-single-market/en/eu-trusted-lists-trust-service-providers

3) et réalisée au moyen d’un dispositif sécurisé de création de signature qui garantit que …

  • les données utilisées pour la création de la signature ne puissent, pratiquement, se rencontrer qu’une seule fois et que leur confidentialité soit assurée ;
  • l’on puisse avoir l’assurance suffisante que les données utilisées pour la création de la signature ne puissent être trouvées par déduction et que la signature soit protégée contre toute falsification par les moyens techniques actuellement disponibles
  • les données utilisées pour la création de la signature puissent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autre 
  • les moyens sécurisés de création de signature ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature
  • Cf. Annexe II du Règlement européen n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la Directive 1999/93/CE

Exemple : clef USB, carte à puce…

Cependant, bien qu’e-Tendering ne fasse aucune vérification, les composants utilisés par ces différentes méthodes peuvent intégrer des validations qui assisteront le soumissionnaire lors de la signature de son offre.

Le tableau ci-dessous est un aperçu de ces vérifications :

Méthode : Repose sur un(e) : Qui valide le rapport de soumission : Qui valide le format des signatures : Qui valide le certificat utilisé :
Service eID DSS de Fedict Composant externe Oui, le rapport de soumission signé correspond toujours à l’offre. Oui, le DSS de Fedict fourni une signature XADES XL conforme à la législation. Oui, le DSS de Fedict valide le certificat utilisé.
3rd Party Solution tiers extérieure à e-Tendering Oui, si le fichier chargé est un rapport de soumission au format XML. Non, le soumissionnaire peut charger n’importe quel document qu’il estime être une signature recevable par le pouvoir adjudicateur (XML, PDF, image…) Non, aucune vérification n’est faite sur base du certificat.

La légalité d’une ou plusieurs signatures accompagnant une offre

L’application e-Tendering ne vérifie pas qu’une offre a bien été signée par une personne mandatée. Il est important que l’offre soit signée par la ou les personne(s) compétente(s) ou habilitée(s) à engager le soumissionnaire (cfr. art. 51, § 2 AR Passation du 15 juillet 2011).

De la même manière, dans le cadre d’une association momentanée, e-Tendering ne vérifie pas que tous les membres de l’association ont bien signé l’offre qu’ils ont soumis.