Responsable du patrimoine applicatif de la Métropole de Lyon

AIFE : « Pouvez-vous présenter la métropole de Lyon et vos responsabilités en son sein ?

Séverine Derlot : « La Métropole de Lyon est née le 1er janvier 2015 : c'est une collectivité territoriale unique en France créée par la fusion de la Communauté urbaine de Lyon et du Conseil général du Rhône sur les 59 communes qui composent le territoire du Grand Lyon. Au sein de la Métropole de Lyon, je suis responsable de patrimoine applicatif. J’ai notamment sous ma responsabilité plusieurs applications de dématérialisation : Gestion Électronique de documents (GED), signature électronique, archivage électronique, orchestrateurs de flux, etc. »

AIFE : « Quelle est votre politique, votre stratégie en matière d’applications ? »

Séverine Derlot : « Notre politique applicative est d’éviter au maximum tout développement spécifique et d’utiliser des progiciels du marché, prioritairement en open source s’ils existent et nous satisfont. Ainsi nous utilisons plusieurs applications de la suite open source de Libriciel : le parapheur électronique, le système d’archivage électronique (asalae) et l’orchestrateur (pastell). Pour la GED, nous utilisons le logiciel d’Alfresco qui reste un open source, même si nous utilisons la version propriétaire.  Et pour ce qui est télétransmission, nous utilisons les outils propriétaires de Docapost. »

AIFE : « Il y a quelques mois la Métropole de Lyon a souhaité tester le service de vérification automatique de signature électronique proposé par l’AIFE sur sa plateforme API PISTE dans le cadre de la signature des contrats de sa commande publique : quels étaient votre besoin et vos objectifs à la genèse de ce test ? »

Séverine Derlot : « Il faut d’abord rappeler que dans une collectivité territoriale comme la métropole de Lyon, nous avons une obligation de dématérialiser tous nos marchés publics de plus de 40 000 euros. Nous avons fait, de plus, le choix d’aller jusqu’à la signature électronique dans le cadre de la commande publique, même si cette signature électronique n’est pas obligatoire. Ainsi, nous recevons des documents des entreprises qui candidatent à nos marchés publics signés électroniquement, avec un certain type de signature, essentiellement au format « PadES », avec soit une signature intégrée, c’est-à-dire imbriquée dans le fichier PDF signé, ou bien détachée, c’est-à-dire embarquée dans un fichier distinct du fichier PDF signé. Mais ce sujet est assez complexe techniquement, et beaucoup d’utilisateurs sont malheureusement un peu perdus.

L’objectif de notre projet était donc double : d’une part, fiabiliser ce système de signature électronique, et d’autre part accompagner les utilisateurs internes de la Métropole afin de ne pas les laisser seuls face à une technologie que la plupart d’entre eux ne maîtrisent pas forcement.

Ainsi, nous avons décidé d’intégrer plusieurs outils. Nous sommes partis de notre système de GED, sur lequel sont déposés les documents des marchés auquel nous avons connecté le parapheur électronique. Tous les documents qui doivent être signés (ex : l’acte d’engagement) sont ainsi déposés dans la GED. L’utilisateur déclenche manuellement l’envoi en signature. Le choix du circuit de signature électronique sur le parapheur est fait automatiquement via un script basé sur les données du marché (montant, délégation de rattachement …). Une fois que le document est signé, il revient automatiquement dans la GED. Ceci nous permet de s’assurer que tous les documents signés sont correctement récupérés depuis le parapheur électronique (rappelons que cet outil, comme un parapheur papier ne stocke pas les documents, une fois signés et récupérés, les documents signés sont supprimés) et pourrons être archivés dans un système d’archivage électronique dans le futur.

Il restait une étape à automatiser : la vérification des signatures électroniques (bon type de signature avec des certificats qualifiés - pas de signatures « simplifiées » par exemple) et la génération du bordereau de vérification (demandé par certains organismes publics et que nous souhaitons joindre aux documents signés dans notre système d’archivage électronique).

Dans un premier temps l’interface web de chorus vérification de signature a été utilisée par les utilisateurs de façon manuelle. Cependant cette action ne présente qu’une tâche supplémentaire « rébarbative » et sans valeur ajoutée pour les utilisateurs.

Et c’est là qu’interviennent les API proposées par l’AIFE sur la plateforme PISTE de vérification automatique de signature électronique que nous avons découvertes, un peu par hasard je dois bien l’avouer, et que nous avons décidé d’utiliser et d’intégrer à nos systèmes, car elles correspondaient parfaitement à notre besoin.

AIFE : « Concrètement, comment cela se déroule-t-il ?»

Séverine Derlot : « Concrètement, nous avons développé un automatisme, qui prend tous les documents signés électroniquement, qui sont donc tous centralisés dans notre GED, et les envoie sur les API PISTE. La vérification se déroule et le bordereau de vérification nous revient, généré automatiquement par l’API de l’AIFE. Ce qui fait que pour chacun des documents signés électroniquement, nous avons un bordereau de vérification associé, qui nous indique deux informations : que le document est bien signé, et que le niveau de signature est correct. Cela nous permet de s’assurer que 100% de nos documents sont signés électroniquement et de façon correcte. Et cela nous permet aussi de respecter la réglementation en matière d’archivage électronique puisque nous pouvons archiver de manière conjointe les documents signés et leurs bordereaux de vérification. »

AIFE : « Depuis quand avez-vous démarré votre phase de test de cet outil et quel est le pourcentage de signatures invalides détectées par l’API qu’il faut refaire ? »

Séverine Derlot : « Cela fait un an que nous avons proposé ce système « GED – parapheur – vérification automatique de la signature électronique », sur la base du volontariat, afin de le tester. Après cette phase qui nous a pleinement satisfaites, nous avons décidé tout récemment, depuis début novembre 2023, d’imposer ce système à tous nos agents concernés. C’est pourquoi nous n’avons pas encore beaucoup de recul. Néanmoins, après quelques semaines d’utilisation, nous avons constaté que sur 175 documents signés depuis début novembre, 3 présentent une anomalie (qui est en fait un mauvais niveau de signature).

AIFE : « Quelles ont été les principales difficultés que vous avez rencontrées lors de la mise en place de ce nouveau système »

Séverine Derlot : « La réponse est dans la question ! C’est un nouveau système, mais c’est surtout un nouveau process, donc la principale difficulté a été classiquement la conduite du changement des utilisateurs qui avaient pour certains l’habitude d’aller directement sur le parapheur électronique ou papier. Donc, par exemple, il a fallu interdire la signature papier et l’accès direct au parapheur électronique, non couplé avec notre système de GED. Le métier de nos utilisateurs, c’est de piloter les marchés publics. Avec l’utilisation du parapheur « en direct », on leur demandait de vérifier que les documents du marché étaient bien signés électroniquement, intégrés ou détachés, prioritairement au format PadES plutôt que XadES, et avec un certificat qualifié ! Il y a donc de quoi les perdre et cela génère pour eux beaucoup de stress, car le risque en cas d’erreur est un rejet du marché public. D’où la nécessité d’automatiser et de fiabiliser au maximum cette phase de vérification. Cette solution est donc in fine un soulagement pour les agents qui n’ont plus à se préoccuper de ces questions. Mais pour que cela fonctionne, il faut imposer l’utilisation d’une GED, ce qui les oblige désormais à catégoriser les documents en amont, et ce qui est une charge nouvelle pour eux. Pour les entreprises titulaires des marchés, la problématique est la même, car ils ne comprennent pas toujours les contraintes imposées en termes de signature électronique, même si elles sont parfaitement expliquées dans les documents des marchés, et signent parfois avec des formats non valides voire sans certificat…

AIFE : « En conclusion je crois que vous mettez votre service à disponibilité d’autres collectivités : lesquelles et comment cela s’organise-t-il ?

Séverine Derlot : « Avec l’aide de l’AIFE nous avons présenté à Libriciel notre façon d’exploiter les API PISTE afin de procéder à la vérification de signature. Libriciel s’est montré très intéressé et étudie la possibilité d’intégrer de façon centralisée les API PISTE à leur parapheur électronique. Ainsi d’autres collectivités devraient pouvoir, dans le futur, profiter de cette automatisation. Les modalités et le calendrier restent toutefois à confirmer par Libriciel. »