Tout comprendre sur le certificat RGS en moins de 5 minutes

La signature électronique a révolutionné les échanges professionnels : plus besoin d’imprimer, de scanner ou d’envoyer des documents par courrier. En quelques clics, on signe à distance, on valide un contrat, on boucle une procédure. Mais derrière cette praticité se cachent de réelles exigences de conformité, sécurité et traçabilité. C’est là qu’intervient le certificat RGS (Référentiel Général de Sécurité). Mis en place par l’ANSSI, il garantit l’identité du signataire et la sécurité des échanges numériques, en toute conformité avec les exigences légales françaises. Qu’est-ce qu’un certificat RGS ? Dans quels contextes est-il obligatoire ? Comment l’obtenir ? Toutes les réponses au sein de cet article.

Qu'est-ce qu'un certificat RGS ?

Définition RGS

Le Référentiel Général de Sécurité, plus communément appelé RGS, est une initiative des autorités françaises. Il a pour mission de sécuriser les échanges électroniques entre les usagers, les entreprises et les administrations. Comment ? En suivant un ensemble de règles et de normes techniques définies par l’ANSSI (Agence nationale de la sécurité des systèmes d'information). Le certificat RGS vient attester du respect de ces règles.

Il existe alors plusieurs types de certificats RGS, selon l’usage :

• Certificat de signature électronique

  (pour signer des documents numériques)

• Certificat d’authentification

  (pour se connecter à des portails sécurisés)

• Ou encore certificat de chiffrement

  (pour protéger des données confidentielles)

Ces certificats peuvent être combinés ou émis séparément selon les besoins de votre organisation. Dans tous les cas, ils sont délivrés par des prestataires qualifiés, eux-mêmes reconnus par l’ANSSI, après vérification stricte de l’identité du demandeur.

Différence entre certificat eIDAS et RGS

Depuis l’entrée en vigueur du règlement européen eIDAS (Electronic IDentification, Authentication and trust Services), un autre type de certificat a vu le jour : le certificat qualifié eIDAS. Ce dernier vise à harmoniser la confiance numérique à l’échelle de l’Union européenne.

Autrement dit, le certificat RGS est idéal si vous travaillez exclusivement avec des entités françaises (administrations, appels d’offres publics, marchés nationaux, professions réglementées). Le certificat eIDAS est, quant à lui, recommandé si vos transactions dépassent les frontières ou si vous devez assurer une reconnaissance légale au niveau européen. Dans les faits, de nombreux prestataires proposent aujourd’hui des certificats compatibles à la fois RGS et eIDAS, afin de couvrir tous les usages.

À quoi sert un certificat RGS ?

Le certificat RGS joue un rôle clé dans la sécurisation des échanges numériques, en garantissant trois piliers fondamentaux.

L'identité du signataire

Grâce à une vérification rigoureuse effectuée lors de l’émission du certificat, le RGS permet d’attester avec certitude l’identité de la personne ou de l’entité qui signe un document ou accède à un service numérique. Il agit donc comme une carte d’identité numérique, infalsifiable et juridiquement opposable.

L'intégrité des documents

Une fois le document signé à l’aide d’un certificat RGS, toute modification ultérieure est détectable. Cela garantit l’intégrité des contenus : ce qui a été signé ne peut plus être altéré sans que cela ne soit visible.

La confidentialité des données

Dans certains cas, le certificat peut aussi chiffrer les échanges ou les documents, afin que seules les personnes autorisées puissent les consulter. Ce niveau de protection est essentiel dans les contextes sensibles ou réglementés (données personnelles, informations stratégiques, échanges inter-administratifs...).

Quels sont les différents niveaux de sécurité RGS ?

Certificat RGS* (1 étoile)

Le certificat RGS 1 étoile (*) correspond un niveau de sécurité standard.

Ce niveau permet de valider l'identité d'une personne, physique ou morale, à partir de pièces justificatives. Autrement dit, sans visite physique auprès de l'autorité de certification. Tout se fait à distance. Les certificats de ce niveau sont alors stockés et gérés via des logiciels, éliminant le besoin de supports cryptographiques matériels.

Cette méthode d'authentification simplifiée est particulièrement adaptée pour signer des documents courants comme des factures ou des devis.

Avantages : simplicité et rapidité d'obtention, coût réduit.

Limites : ne convient pas aux actes hautement engageants ou réglementés.

Certificat RGS** (2 étoiles)

Le certificat RGS 2 étoiles (**) correspond à un niveau de sécurité renforcé.

Ce niveau permet de valider l'identité d'une personne seulement sur présentation physique. Autrement dit, une vérification physique du demandeur par l'autorité de confiance est nécessaire. Par ailleurs, les clés de certification sont stockées sur un support cryptographique du type carte à puce, token USB...

Une certification RGS** est indispensable pour les personnes nécessitant des accès à des plateformes et services spécialisés, tels que certaines plateformes bancaires ou administratives. Elle est aussi recommandée pour signer des documents engageants dans les marchés publics.

Avantages : excellent équilibre entre sécurité, reconnaissance légale et praticité.

Limites : nécessite un contrôle physique et une procédure d’émission plus encadrée.

Certificat RGS*** (3 étoiles)

Le certificat RGS 3 étoiles (***) correspond au niveau de sécurité élevé/qualifié.

Tout comme le niveau 2 étoiles, ce niveau nécessite une vérification physique du demandeur. Sur ce point, aucun changement. Cependant, ses critères d'authentification, de validation et de stockage sont plus rigoureux. La clé générée est, par exemple, stockée sur un dispositif qualifié sécurisé (HSM, carte qualifiée...).

En ce sens, une certification RGS*** est réservée aux institutions, organismes et entreprises ayant des exigences de sécurité importantes. Elle convient aussi aux documents à forte portée juridique nécessitant une signature électronique qualifiée.

Avantages : niveau maximal de sécurité et de conformité.

Limites : coûteux, plus complexe à déployer et réservé à des usages spécifiques.

Tableau comparatif des niveaux RGS

Le bon réflexe ? Choisir un niveau adapté au risque ! Ainsi, inutile d’opter pour un RGS*** pour signer un bon de commande interne. En revanche, une réponse à un appel d’offres public requiert souvent un RGS** minimum, voire RGS*** selon les cas.

Qui est concerné par le certificat RGS ?

Administrations et collectivités

Les services de l’État, les collectivités territoriales et les établissements publics doivent utiliser un certificat RGS pour :

• Accéder à des plateformes sécurisées de téléprocédures (ex : Chorus Pro, API Entreprise) ;

• Signer électroniquement des documents officiels ou juridiques ;

• Répondre à des obligations légales liées à la dématérialisation des services publics.

Professions réglementées

Avocats, notaires, experts-comptables, huissiers, médecins, pharmaciens… Tous ces professionnels sont concernés dès lors qu’ils doivent :

• Transmettre des documents sensibles ou confidentiels ;

• Authentifier leur identité dans un espace sécurisé ;

• Apposer une signature électronique à valeur probante sur des actes juridiques.

Entreprises privées

Les entreprises ne sont pas en reste. Le certificat RGS devient incontournable pour :

• Répondre à des appels d’offres publics, où une signature conforme RGS est souvent exigée ;

• Émettre des factures électroniques sécurisées dans le cadre de la facturation B2G (Business to Government);

• Authentifier des utilisateurs sur des plateformes à accès restreint ou sensibles ;

• Signer des contrats, décisions ou rapports à valeur légale.

Comment obtenir un certificat RGS ?

Étape 1 : Choisir un prestataire de services de certification

Tout commence par le choix d’un prestataire agréé par l’ANSSI, également appelé Tiers de Confiance. Ce prestataire sera chargé de :

• Vérifier votre identité (ou celle de votre entreprise),

• Générer et héberger votre certificat électronique,

• Vous accompagner dans sa configuration et son renouvellement.

Bon à savoir : certains prestataires proposent des certificats compatibles RGS et eIDAS, ce qui permet de couvrir à la fois les exigences nationales et européennes. C'est notamment le cas de Docusign !

Étape 2 : Formuler la demande et fournir les justificatifs

Une fois le prestataire choisi, vous devez remplir un formulaire de demande et transmettre les pièces justificatives requises. Cela inclut généralement un :

• justificatif d’identité (pièce d’identité en cours de validité),

• extrait Kbis pour les entreprises,

• mandat ou autorisation si vous agissez pour le compte d’un tiers.

Selon le niveau de sécurité souhaité, les exigences peuvent être plus ou moins strictes. En plus des pièces justificatives, il faudra ainsi une vérification physique pour les RGS** et RGS***.

Étape 3 : Remise du certificat

La remise du certificat varie selon les niveaux de sécurité :

• RGS*** : remise en face à face obligatoire, avec contrôle d’identité par un agent habilité.

• RGS** : remise en face à face ou envoi recommandé sécurisé, avec remise contre signature.

• RGS* : souvent téléchargé ou activé à distance, selon les modalités du prestataire.

Dans tous les cas, le certificat est lié à un support sécurisé : clé USB cryptée, carte à puce ou module logiciel.

Étape 4 : Installation et utilisation

Une fois reçu, le certificat doit être installé sur l’équipement prévu (ordinateur, terminal sécurisé…) ou intégré à un logiciel de signature électronique type Docusign. Le prestataire vous fournit généralement un guide d’installation, voire un accompagnement technique.

Vous pouvez alors :

• Signer électroniquement des documents,

• Vous authentifier sur des portails sécurisés,

• Chiffrer des échanges confidentiels.

Le certificat a une durée de validité limitée (souvent 1 à 3 ans), après quoi il devra être renouvelé si besoin.

Quel est le prix d'un certificat RGS ?

Le coût d’un certificat RGS varie selon plusieurs critères :

• niveau de sécurité souhaité (RGS*, RGS**, RGS***),

• prestataire de certification choisi,

• durée de validité du certificat,

• services inclus (support, assistance, remise, réémission…).

Voici une fourchette indicative des tarifs pratiqués :

Certains prestataires proposent des formules pluriannuelles, avec des réductions à la clé (ex. : 3 ans pour 750 €).

Quels sont les fournisseurs officiels ?

Prestataires reconnus par l’ANSSI

L’ANSSI publie une liste officielle des prestataires qualifiés pour émettre des certificats conformes au RGS. Ces entités répondent à des exigences strictes en matière de sécurité, de vérification d’identité et de gestion des clés cryptographiques. Parmi les prestataires reconnus en France, on retrouve notamment :

• Certinomis (groupe La Poste)

• ChamberSign France

• Docusign France

• Certeurope

• …et d’autres selon les mises à jour de l’ANSSI

Pour consulter la liste officielle : https://www.ssi.gouv.fr/

Certificat RGS avec Docusign

Docusign, leader mondial de la signature électronique, propose des certificats compatibles RGS et eIDAS, intégrés à sa solution Docusign eSignature. Pourquoi choisir Docusign ? Pour ces nombreuses raisons :

• Conformité totale avec les exigences de l’ANSSI pour toutes les signatures RGS (RGS*, RGS** et RGS***).

• Interopérabilité avec les signatures qualifiées eIDAS, pour vos échanges à l’échelle européenne.

• Plateforme intuitive et fluide, accessible même pour les utilisateurs peu technophiles.

• Remise du certificat simplifiée, avec assistance à chaque étape (identité, installation, usage).

• Intégration facile à vos outils métiers (ERP, CRM, SIRH…).

En résumé, choisir un fournisseur reconnu comme Docusign, c’est s’assurer une solution conforme, évolutive et simple à mettre en place, que ce soit pour une entreprise, une administration ou une profession réglementée. Testez par vous-même !

FAQ "Certificat RGS"

Qu'est-ce que la norme RGS ?

Le Référentiel Général de Sécurité (RGS) est un ensemble de règles techniques et organisationnelles défini par l’ANSSI, qui encadre la sécurité des échanges numériques entre les administrations, les entreprises et les citoyens. Il garantit notamment l’authentification, l’intégrité des documents, la confidentialité des données et la traçabilité des transactions.

Qu'est-ce qu'un certificat RGS ?

Un certificat RGS est un certificat électronique délivré par un prestataire reconnu par l’ANSSI. Il permet de signer électroniquement des documents, d'authentifier un utilisateur ou de chiffrer des données, tout en respectant les exigences de sécurité et de conformité du RGS. On distingue trois niveaux de sécurité : RGS*, RGS** et RGS***, selon les usages et le niveau de protection requis.

Comment obtenir un certificat RGS ?

Voici les étapes à suivre :

1. Choisir un prestataire agréé par l’ANSSI (ex. : Docusign).

2. Formuler une demande et transmettre les pièces justificatives.

3. Faire vérifier votre identité, parfois en présentiel selon le niveau de sécurité.

4. Recevoir le certificat (clé USB, carte à puce, module logiciel).

5. Installer et utiliser le certificat pour signer, accéder à des plateformes ou chiffrer des échanges.