Procédures de transmission dématérialisée entre les collectivités locales et les préfectures

Question de Mme GHALI Samia (Bouches-du-Rhône - SOC) publiée le 22/05/2014

Mme Samia Ghali attire l'attention de M. le ministre des finances et des comptes publics sur les procédures de transmission dématérialisée entre les collectivités locales et les préfectures. L'obligation qui est faite aux communes de se doter d'un certificat de type RGS (référentiel général de sécurité), dans le cadre de la dématérialisation des actes, entraînera un surcoût pour les collectivités. Une instruction ministérielle récente précise que sa mise en œuvre sera effective à compter du 18 mai 2014. Il est également mentionné que « l'obligation d'utilisation de certificats d'authentification RGS et de certificats serveurs RGS interviendra après la parution du futur cahier des charges de la télétransmission dans Actes et de l'arrêté modifiant celui de 2005 en portant approbation ». Ce report permettra aux collectivités de ne pas avoir à acquérir plusieurs certificats à quelques mois d'intervalle. Néanmoins, cette nouvelle exigence technique, même si elle constitue une avancée dans le mode de gestion communale, aura un coût qui pèsera sur les communes et plus particulièrement sur les plus petites situées en milieu rural. Or, si la collectivité estime que les inconvénients sont supérieurs aux avantages, elle dispose de la faculté en application de l'article R. 2131-3 du code général des collectivités territoriales (CGCT) de renoncer à la télétransmission, comme la convention qu'elle a signée avec l'État le prévoit. Elle lui demande de bien vouloir lui indiquer quelles sont les dispositions qui ont été être prises pour favoriser la cohérence, la généralisation et l'harmonisation des pratiques, tout en limitant ce surcoût, notamment pour les communes les plus modestes.

Publiée dans le JO Sénat du 22/05/2014 - page 1179

Transmise au Ministère des finances et des comptes publics

Réponse du Ministère des finances et des comptes publics publiée le 29/01/2015

Le certificat RGS (référentiel général de sécurité) exigé dans le système d'information @CTES depuis le 18 mai 2014, conformément aux dispositions du décret n° 2010-112 (dit « décret RGS ») du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives (dite « ordonnance téléservices »), remplace un certificat du type « PRIS » précédemment exigé par le cahier des charges de transmission @CTES de 2005. Le certificat « PRIS » n'étant plus conforme aux nouvelles normes de sécurité, il n'est plus proposé à la vente depuis l'entrée en vigueur du RGS en mai 2013 et il était nécessaire de le remplacer par un autre certificat doté des mêmes fonctionnalités. Le choix du niveau de sécurité RGS** pour l'authentification des émetteurs en collectivité résulte d'une étude de risques à laquelle le ministère de l'intérieur a procédé conformément aux dispositions du décret ci-dessus référencé. De plus, l'association des maires de France (AMF), dans un courrier du 16 mai 2013, a explicitement demandé que l'État exige des collectivités l'utilisation de certificats d'authentification de ce niveau de sécurité lors de leurs transmissions sur @CTES (et sur HELIOS / PES V2). L'intérêt de ce certificat est de pouvoir être utilisé par les émetteurs pour se connecter à toutes les applications qui ne nécessitent pas une identification encore plus sécurisée (c'est-à-dire à quasiment tous les systèmes d'information qu'ils soient ministériels ou pas) : c'est l'intérêt de tous d'utiliser ce dispositif qui constitue une garantie contre l'usurpation d'identité des émetteurs et l'attaque contre des portails et des systèmes d'information régaliens. Si le prix d'un certificat RGS affiché par certains prestataires (autour de 250 € pour trois ans) peut paraître supérieur au prix du certificat précédent, les acheteurs peuvent prendre les conseils de l'AMF, des opérateurs de transmission ou se réunir en groupement de commandes. Le prix peut, dans certains cas, être ramené à moins de 100 € pour trois ans. La date du 18 mai 2014 a été choisie en plein accord avec l'AMF pour que les certificats puissent être éventuellement établis au nom des nouveaux élus municipaux. Ce certificat d'authentification doit être au nom de la personne qui télétransmet effectivement des actes sur le système d'information @CTES ; il peut donc fort légitimement être au nom des secrétaires de mairie ou d'autres fonctionnaires territoriaux qui peuvent s'en servir pour toutes leurs transmissions. Comme le certificat est nominatif, c'est-à-dire rattaché à une personne physique, il est donc « multifonctions » ; son détenteur peut légitimement l'utiliser pour s'authentifier quand il transmet pour le compte des différentes structures qui l'emploient (cas du secrétaire de mairie en temps partagé) ou dont il est le représentant légal (cas du maire, président d'entreprise publique locale -EPL- et de groupements). Il convient juste de s'assurer que l'entité émettrice, personne morale, est correctement identifiée. L'objectif commun aux services de l'État et à l'AMF est de créer, grâce à l'utilisation d'un même certificat sécurisé, un cercle de confiance pérenne qui permette aux collectivités territoriales de télétransmettre sur plusieurs systèmes d'information.

Publiée dans le JO Sénat du 29/01/2015 - page 208