Le Référentiel général de sécurité (RGS) est un cadre réglementaire français visant à garantir la sécurité, l'intégrité et la confidentialité des systèmes d'information utilisés par l’administration et la fonction publique. Il s’applique à l’ensemble des échanges électroniques fiabilisant les démarches administratives à destination des citoyens, collectivités et entreprises. Promulgué initialement par l’ANSSI, il impose des obligations précises aux autorités administratives, en matière de sécurité des systèmes et de confiance dans les échanges électroniques.

Le RGS a été introduit par l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Entre 2007 et 2010, il a été conçu et mis en œuvre par l’ANSSI, alors dénommée DCSSI. Le référentiel est entré en vigueur le 19 mai 2010, remplaçant certains dispositifs plus anciens comme le RIS.

La philosophie du RGS s’articule autour des principes édictés par la Loi Informatique et Libertés, l’article 9 du Code civil (protection de la vie privée) et l’alignement avec les recommandations européennes, telles que la directive eIDAS.

Le but fondamental du RGS est de définir le niveau de sécurité des services en ligne et des échanges impliquant des données personnelles ou sensibles dans la fonction publique. Les principaux objectifs sont :

• Garantir l'authentification des utilisateurs, agents et partenaires.
• Assurer la confidentialité des échanges électroniques.
• Protéger l’intégrité des données transmises.
• Offrir la traçabilité des actions.
• Gérer et assurer la non-répudiation des opérations.

Le RGS concerne l’ensemble des autorités administratives françaises, notamment les ministères, préfectures, collectivités territoriales, établissements publics administratifs, ainsi que les prestataires de confiance opérant pour leur compte, tels que les PSCE, hébergeurs de données de santé et tiers de télétransmission.

Le RGS prévoit plusieurs niveaux de sécurité adaptés à la criticité des échanges :

Niveau de sécurité	Usage typique
Bas	Information publique, actions à faible enjeu.
Moyen	Données personnelles, procédures administratives classiques.
Élevé	Informations sensibles, procédures critiques.
Très élevé	Données classifiées, domaines régalien ou secret.

Le cadre du RGS repose sur quatre axes majeurs :

1. Identification et authentification: Gestion des identités grâce à des protocoles forts (certificats, mots de passe complexes, authentification multifactorielle).
2. Confidentialité et intégrité: Chiffrement des données à l'aide d'algorithmes cryptographiques homologués par l’ANSSI.
3. Signature électronique: Mise en œuvre de la signature électronique pour garantir l’intégrité et la traçabilité des actes administratifs.
4. Horodatage et journalisation: Enregistrement des événements liés aux accès et modifications.

Le RGS impose l’utilisation de composants informatiques, logiciels et matériels, certifiés ou qualifiés. Les solutions techniques doivent être conformes aux recommandations de l’ANSSI, notamment via les documents RGI et PSSI.

Les entités sont tenues d'auditer régulièrement la conformité de leurs systèmes et de recourir à des prestataires qualifiés, pour la délivrance de certificats numériques ou pour l’archivage sécurisé.

Les certificats numériques acceptés dans le cadre du RGS doivent :

• Avoir été émis par une autorité de certification accréditée par l’ANSSI.
• Satisfaire aux exigences de durée de validité, révocation, stockage sécurisé et contrôle périodique.
• Être utilisés pour la signature ou l’authentification forte des usagers, agents ou machines.

Entité	Rôle dans le RGS
ANSSI	Élaboration, mise à jour, homologation et contrôle du référentiel.
Ministère de la Transformation et de la Fonction publiques	Pilotage stratégique en liaison avec les administrations.
DINUM	Accompagnement à la transformation numérique et au respect du RGS.
AAI (ex : CNIL)	Veille à la conformité relative aux données personnelles.

Depuis la première version de 2010, le RGS a fait l’objet de plusieurs actualisations majeures, s’adaptant notamment :

• À la Règlementation européenne et à la Directive eIDAS.
• À l’émergence des données ouvertes, cloud computing, archivage électronique.
• À l’évolution des cybermenaces.

Des guides pratiques et fiches techniques actualisés sont mis à disposition par l’ANSSI.

Le RGS est obligatoire dans de nombreux contextes de la fonction publique, notamment :

• Pour l’état civil : échanges de documents dématérialisés entre communes et préfectures.
• Lors des procédures de marchés publics via la plateforme Chorus Pro.
• Pour l’e-santé via la gestion des dossiers médicaux partagés, prestations de téléservice médical, transmission sécurisée de documents entre établissements liés à l’Assurance maladie.
• Dans le cadre du SIRH, gestion administrative du personnel public.
• Pour l’envoi d’avis d’imposition et de documents fiscaux via le portail impots.gouv.fr.

Des critiques récurrentes concernent :

• La complexité de mise en œuvre technique.
• L'adaptation difficile pour les collectivités territoriales disposant de moyens limités.
• L’exigence de veille constante vis-à-vis des mises à jour de sécurité.
• Les chevauchements ou redondances avec le RGPD ou d’autres documents comme la PSSI.

Néanmoins, le RGS est un outil central dans la consolidation de la sécurité numérique de l’administration française et vis-à-vis des obligations envers les citoyens.

• ANSSI
• DINUM
• Signature électronique
• Protection des données personnelles
• RGI
• Loi Informatique et Libertés
• Directive eIDAS
• RGPD
• Marché public

• ANSSI, “Référentiel général de sécurité”
• Ordonnance n° 2005-1516 du 8 décembre 2005
• “Guide d’application du RGS”, ANSSI
• CNIL, “Sécurité des échanges électroniques”

Catégorie: