Retour à la page d'accueil, logo Oodrive
Fermer le menu de navigation
Demander une démo
Demander une démo
FR
oodrive-blog.svg

Veuillez entrer au moins trois caractères pour la recherche

Sécurité

RGS : tout savoir sur le référentiel général de sécurité

Mis à jour le 04 mars 2025
5min
Lea Vaquero
Sommaire
    Partager l’article sur :
    Lien copié dans le presse-papiers

    Les éléments à retenir sur le Référentiel Général de Sécurité (RGS)

    • Le RGS est un cadre réglementaire incontournable pour les autorités administratives françaises, les obligeant à protéger leurs informations sensibles et à garantir la confiance dans l’utilisation de leurs services numériques.
    • La conformité au RGS représente une mesure de sécurité avancée, ainsi qu’une garantie de conformité et de confiance pour les différentes parties impliquées dans des échanges numériques avec les autorités administratives.

    Les administrations sont amenées à mettre en place un nombre croissant de services électroniques, afin d’interagir entre elles et avec les usagers et les entreprises. Ces échanges électroniques impliquent souvent des données sensibles et doivent donc faire l’objet de mesures de sécurité renforcées.

    Depuis 2005, les dispositions de l’ordonnance n°2005-1516, dite « RGS » s’appliquent afin de garantir la confiance dans les services électroniques proposés par les autorités administratives françaises, tout en limitant les risques de fraude.

    Cet article fait le point sur les exigences du Référentiel Général de Sécurité : à qui s’adresse-t-il, quels sont ses différents niveaux de sécurité et comment s’articule-t-il avec le règlement eIDAS ?

    Qu’est-ce que le RGS et à qui s’adresse-t-il ?

    Le RGS ou Référentiel Général de Sécurité est un cadre réglementaire (2005) visant à limiter la fraude liée à l’usage des services numériques de l’administration et à instaurer la confiance numérique dans les échanges électroniques. Cette confiance porte à la fois sur les relations entre les particuliers, les entreprises et les autorités administratives, ainsi qu’entre les administrations.

    Comme l’explique l’ANSSI, qui gère le référentiel, celui-ci s’applique aux autorités administratives suivantes :

    • Les administrations de l’État,
    • Les collectivités territoriales,
    • Les établissements publics à caractère administratif,
    • Les organismes gérant des régimes de protection sociale,
    • Les autres organismes chargés de la gestion d’un service public administratif,
    • Les commissions de coordination des actions de prévention des expulsions locatives.

    Le Référentiel Général de Sécurité s’adresse également aux organismes publics et privés fournissant des produits ou services de confiance, ainsi qu’aux organismes chargés de la qualification des produits et services de confiance.

    Les administrations et organismes publics utilisant des signatures ou cachets électroniques dans le cadre d’un service en ligne doivent obtenir un certificat RGS d’une durée de validité de 1 à 3 ans, émis par une autorité de certification, dont le niveau de sécurité est défini suite à une analyse de risques.

    L’ANSSI joue un rôle clé dans la mise à jour et l’application du Référentiel Général de Sécurité, notamment en accompagnant les autorités administratives dans la compréhension des exigences du texte. Elle accrédite également les prestataires de services émettant des certificats RGS.

    Les certifications RGS peuvent être de deux types :

    • Des certificats de personne physique, utilisés pour identifier et authentifier des individus.
    • Des certificats de personne morale, destinés aux organisations, servant à sécuriser les serveurs et les applications.

    1, 2 ou 3 étoiles : les différents niveaux de sécurité du RGS

    Le Référentiel Général de sécurité prévoit 3 niveaux de qualification croissants (RGS*, RGS**, RGS***), chacun étant adapté à la sensibilité des informations traitées et aux risques associés. Ces différents niveaux répondent à des enjeux de sécurité distincts.

     RGS 1 étoileRGS 2 étoilesRGS 3 étoiles
    Niveau de sécuritéPremier niveau de sécurité (le plus faible)Niveau de sécurité renforcéeNiveau de sécurité le plus élevé
    Contexte d’utilisationTraitement de données peu sensiblesGestion de données sensiblesContextes administratifs nécessitant une protection maximale des données sensibles
    Exemples de cas d’usageAccès au portail SylaéMarchés publics Système d’Immatriculation des Véhicules Démarches auprès du Guichet unique de l’INPI Application ACTES
    Actes authentiques Actes notariés Actes d’avocats    		Organismes d’État liés à la sécurité nationale, agences gouvernementales (exemple : Agence du Médicament)
    Carte agent fonction publique
    Obtention de certificat RGSProcessus simplifiéProcessus plus rigoureuxProcédures plus strictes

    Signez vos documents en ligne

    Découvrez la signature électronique qui s’adapte à votre secteur. Simplifiez vos signatures de documents avec Oodrive Sign.

    En savoir plus

    Quelle articulation entre le RGS et le règlement eIDAS ?

    Le Référentiel Général de Sécurité et le règlement eIDAS sont deux cadres réglementaires distincts. S’ils portent tous les deux sur la sécurité numérique et la confiance dans les services électroniques, ils diffèrent en revanche quant à leur portée géographique et à leur contexte d’application.

    Le RGS s’applique uniquement en France, entre les entités publiques françaises ou pour les échanges avec elles. De son côté, le règlement eIDAS s’applique à tous les États membres de l’Union européenne, dans tous les secteurs. Il établit des normes communes afin de faciliter les échanges entre les États membres avec un niveau de sécurité élevé et un niveau de confiance garanti.

    Ces deux règlements ne sont pas équivalents d’un point de vue juridique, mais ils se complètent et sont parfois proches. Le niveau 1 étoile du RGS se rapproche des exigences de la signature électronique avancée. Les niveaux 2 et 3 étoiles du RGS se rapprochent des exigences de la signature électronique qualifiée.

    Une qualification au titre du RGS ne vaut pas conformité au règlement eIDAS, et inversement. Les organisations concernées doivent donc se conformer aux exigences de chacun des deux textes. Leurs échanges numériques seront ainsi particulièrement sécurisés. Dans le cas d’une administration française signant des documents nécessitant une reconnaissance à l’échelle européenne, le règlement eIDAS et le RGS s’appliquent conjointement.

    Quel lien entre certificat RGS et signature électronique ?

    Les certificats RGS ont pour rôle d’assurer l’authenticité, la confidentialité et l’intégrité des données échangées dans le cadre des activités de l’administration française. Ils permettent de signer des documents électroniques et de s’authentifier, en combinant les deux fonctions.

    Une signature électronique réalisée avec un certificat RGS assure que celui-ci n’a pas été modifié après signature (l’intégrité du document est garantie). Le système d’authentification mis en place est particulièrement intéressant lorsque des informations sensibles ou critiques sont manipulées.

    Photo de l'auteur
    Lea Vaquero Responsable Marketing Opérationnel
    Partager l’article sur :
    Lien copié dans le presse-papiers
    Articles en relation
    Logo OODRIVE
    Visitez notre chaîne YouTube
    Suivez-nous sur X
    Suivez-nous sur LinkedIn
    Produits
    Tarif et Essais gratuits
    La signature électronique
    La collaboration sécurisée
    La gestion de réunion de gouvernance
    Références par secteur d’activité
    Notre écosystème de partenaires
    À propos
    Ressources

    © Oodrive 2024 - Tous droits réservés

    Français
    Visitez notre chaîne YouTube
    Suivez-nous sur X
    Suivez-nous sur LinkedIn
    Picto de notification
    La suite Oodrive qualifiée SecNumCloud version 3.2 !

    Oodrive renouvelle la qualification SecNumCloud
    de sa suite collaborative pour 3 ans.

    En savoir plus
    Logo Visa de l'ANSSI
    PAR SECTEUR
    PAR EQUIPE
    Solutions
    INFRASTRUCTURE
    SERVICES