Le décret dit RGS pour "référentiel général de sécurité", prévu par l'article 9 de l'ordonnance du 8 décembre 2005 (ordonnance "relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives") a enfin été publié. Il vient fixer les règles auxquelles les systèmes d'information mis en place par les administrations de l'Etat et par les collectivités territoriales doivent se conformer pour assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, notamment en termes de confidentialité et d'intégrité de ces informations.
Le décret fixe en particulier les démarches à suivre par les administrations pour assurer la protection de leurs systèmes d'information - notamment des téléservices - et les conditions de qualification des produits de sécurité et des prestataires de services de confiance. En termes de responsabilité, il incombe aux collectivités de définir les fonctions de sécurité nécessaires, autrement dit d'identifier les risques, de fixer les objectifs et de déduire les fonctions de sécurité et leur niveau, en conformité avec le RGS, lors de la mise en place de tout système d'information.
Le décret précise que l'autorité administrative "atteste formellement auprès des utilisateurs de son système d'information que celui-ci est protégé conformément aux objectifs de sécurité" et que, à défaut d’usage de produits ou prestataires qualifiés, l’autorité doit s’assurer de leur conformité. Il fixe les règles de qualification des systèmes d'information, des produits de sécurité (notamment, les procédés de signature électronique), des prestataires de service de confiance (tiers de confiance), de validation conditions de délivrance des certificats électroniques et de référencement. Le décret précise également les modalités d’habilitation des organismes de qualification des prestataires. Les autorités administratives qui fournissent des services de confiance peuvent demander à être qualifiées.
Enfin, rappelons l’impact important sur les collectivités puisque ces dernières doivent mettre leurs systèmes d’information en conformité avec le RGS dans un délai de trois ans à compter de la date de publication du RGS pour les systèmes existants, et dans un délai de douze mois à compter de la même date pour les applications créées dans les six mois après cette date. Le RGS et le projet d’arrêté qui le mettra en vigueur ont reçu un avis favorable de la Commission Consultative d’Evaluation des Normes (CCEN). Il sera suivi courant du 1er trimestre 2010, de la publication au Journal Officiel d’un arrêté du Premier ministre, qui rendra officialisera le référentiel général de sécurité. Les collectivités territoriales sont donc incitées à sélectionner des produits et prestataires référencés et qualifiés.
 

Philippe Ballet, Isabelle Pottier, avocats / Cabinet Alain Bensoussan
 

Aller plus loin sur le web

• Avis favorable de la CCEN du 7 mai 2009.

  http://www.ccen.dgcl.interieur.gouv.fr/pv_delib_seance_ccen_7_mai_2009-d3cfa6a47b6ba9c46a229c52becd38c2b.pdf

• Décret n° 2010-112 du 2 février 2010 (JO du 4 février 2010).

  http://www.legifrance.gouv.fr/jo_pdf.do?cidTexte=JORFTEXT000021779444

• Pour en savoir plus : le site de la DGME dédié aux "documents de référence de l'administration électronique" (RGS, mais aussi RGI, RGAA, charte ergonomique...)

  http://www.references.modernisation.gouv.fr/

A lire aussi sur Localtis.info

• 03/02/2010
  Neuilly-sur-Seine dématérialise les déclarations d'intention d'aliéner
• 22/04/2009
  Publication du référentiel de l'administration électronique
• 13/01/2009
  La DGME présente l'avancement des référentiels d'accessibilité, de sécurité et d'interopérabilité
• 26/11/2008
  Une charte ergonomique unifiée pour tous les sites publics
• 03/10/2008
  La DGME oeuvre pour une administration "sans couture"
• 08/09/2006
  Un nouveau mode d'emploi des échanges électroniques avec l'usager