Convention de délégation de gestion
Convention de délégation de gestion
Entre
La Direction générale de la prévention des risques (DGPR), Tour Séquoia – 0 xxxxx Xxxxxxxx 00000 Xxxxxxx,
Représentée par Xxxxxxx Xxxxx, adjoint au Directeur général de la prévention des risques, Ci-après dénommée « le délégant »,
Et
La Direction Interministérielle du Numérique (DINUM)
Adresse : 00 xxxxxx xx Xxxxx – XXX 00 000 00 000 XXXXX Xxxxx 00, Représentée par Xxxx Xxx Xxxxx, Directeur interministériel du numérique,
Ci-après dénommée « le délégataire »,
Vu le décret n° 2019-1088 du 25 octobre 2019 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique et notamment son article 6,
Préambule :
xxxx.xxxx.xx est un programme principalement animé au sein de la DINUM qui aide les ministères et autres partenaires publics à construire des services numériques simples, faciles à utiliser, à l’impact maximal.
xxxx.xxxx.xx constitue des équipes pluridisciplinaires constituée de personnes expertes du numérique et d’un ou plusieurs agents publics issus de l’administration partenaire, agissant en qualité d’« intrapreneur(s) ». Ces équipes suivent une démarche de conception de service numérique agile et centrée sur les besoins des utilisateurs parfois surnommée « approche Startup d'État ». Au sein d’un incubateur, les équipes investiguent le problème identifié pour mieux comprendre les besoins des utilisateurs (« phase d'investigation »), puis construisent une première solution minimale pour expérimenter et vérifier son utilité réelle sur le terrain (« phase de construction »). En cas d'utilité avérée, le service s'améliore, s'étend à de nouveaux périmètres et se déploie (« phase d'accélération ») pour ensuite trouver une structure d’accueil propice à sa pérennisation (« phase de consolidation » ou « phase de transfert »).
Les Ministères de la Transition Ecologique (MTE) et de la Cohésion des Territoires et des relations avec les collectivités territoriales (MCTRCT) ont créé un incubateur, la « Fabrique numérique », afin de développer des services numériques selon la méthode « Start-up d’État ». Cinq des six initiatives lancées lors de la deuxième saison de la « Fabrique numérique » en 2018 poursuivent leur phase d’incubation afin d’accélérer leur déploiement, dont Trackdéchets, objet de la présente convention.
Il a été convenu ce qui suit :
Article 1 : Objet de la délégation
La présente convention a pour objet de définir la répartition des rôles et les modalités de participation financière du délégant et de la DINUM afin de poursuivre la construction, accélérer le service numérique Trackdéchets ayant pour objectif de Gérer la tracabilité des déchets en toute sécurité, en suivant l’approche documentée sur la page xxxxx://xxxx.xxxx.xx/xxxxxxxx/.
Conformément à l'article 2 du décret n°2004-1085 du 14 octobre 2004 visé en référence, la présente convention précise les obligations respectives des parties et les modalités d'exécution financière de l'action.
Pour assurer ses missions, le délégant autorise la DINUM à consommer des crédits hors titre 2 rattachés à l'unité opérationnelle (UO) 0181-CPRI-ELAB sur le budget opérationnel de programme (BOP) CPRI du programme 0181 « Prévention des risques », dont le responsable est le délégant.
Cette autorisation couvre les opérations de dépenses liées à la phase d’accélération du service visé par la présente convention.
Conformément aux dispositions de l’article 2 du décret n° 2004-1085 du 14 octobre 2004 visé en référence, la présente convention précise les obligations respectives des parties et les modalités d’exécution financières.
Elle précise également le montant alloué au projet et les imputations budgétaires et analytiques à renseigner dans CHORUS.
Par ailleurs, il est rappelé que « Trackdéchets » bénéficie d’un cofinancement du Fonds de Transformation de l’Action Publique, mis en œuvre au travers du Programme 349. Une convention de délégation de gestion spécifique en précise les modalités. Le financement prévu en 2021, est de 800 000 euros TTC réparti pour moitié entre le FTAP, et le P181.
Article 2 : Obligations du délégant
Le délégant s’engage à :
• respecter le manifeste du programme xxxx.xxxx.xx pour l’émergence de services publics numériques, détaillé sur la page xxxxx://xxxx.xxxx.xx/xxxxxxxx/xxxxxxxxx ;
• nommer un ou une agent public au rôle d’”intrapreneur” dans les conditions détaillées sur la page xxxxx://xxxx.xxxx.xx/xxxxxxxx/xxxxxxxxxxxxx ;
• désigner une ou un “sponsor” de haut niveau dans les conditions détaillées sur la page xxxxx://xxxx.xxxx.xx/xxxxxxxx/xxxxxxxx.
Article 3 : Obligations de la DINUM
La DINUM s’engage à intégrer l’équipe du service visé par la présente convention à la communauté xxxx.xxxx.xx : accès aux outils partagés, aux ateliers de partage d’expérience, aux formations et aux différentes ressources transverses proposées (aide juridique, expertise en matière de sécurité, d’accessibilité, d’expérience utilisateur, de droit du numérique, etc.).
La DINUM utilise les supports contractuels à sa disposition pour accompagner, mettre en œuvre et garantir l’amélioration continue du service visé par la présente convention, au travers des prestations d'accompagnement, de coaching, de développement, de déploiement, d’expertise UX/UI, de webdesign, etc.
Dans l’utilisation de ces supports contractuels, le délégataire assure les actes de gestion permettant de consommer les AE et les CP, hors titre 2, de l’UO mentionné à l’article 1 dans le respect des règles budgétaires et comptables.
Article 4 : Déroulement des travaux
Les travaux sont organisés sous le pilotage d’un comité d’investissement organisé tous xxx xxx mois pour évaluer les résultats obtenus par chaque équipe incubée et pour déterminer la suite à donner. Ce comité d’investissement est présidé par le représentant du délégant. La DINUM participe à ce comité d’investissement.
Les codes sources documentés seront publiés en open source conformément aux orientations de la circulaire du Premier ministre 5608/SG du 19 septembre 2012 relative aux orientations pour l'usage des logiciels libres dans l'administration. La DINUM fournira au délégant les bases de données, la documentation, les dossiers CNIL éventuels, les dossiers d’homologation RGS et tous les éléments permettant de poursuivre les partenariats engagés sur les développements existants ou à venir.
Une vigilance particulière devra être accordée par l’ensemble des parties prenantes au respect des règles de protection des données à caractère personnel. Le délégant est responsable du traitement qui sera effectué dans le cadre de la présente convention, la DINUM assurant un rôle de sous-traitant selon la répartition présentée dans le tableau en annexe 1.
Les partenaires s’engagent à respecter les bonnes pratiques recommandées par la DINUM en matière de conception de services numériques, et notamment :
• mesurer et diffuser l’impact des services développés par l’intermédiaire d’une page internet présentant les statistiques du service ;
• organiser régulièrement des ateliers d’analyses de risques en suivant la démarche recommandée par la DINUM et l’ANSSI ;
• pour les services nécessitant d’authentifier des usagers, prévoir l’intégration de France Connect ;
• suivre les recommandations de l’observatoire de la qualité des démarches en ligne telles que décrites sur xxxxx://xxxxxxxxxxxx.xxxxxxxxx.xxxx.xx/ ; pour les démarches en ligne, prévoir l’intégration du bouton “Je Donne Mon Avis”.
Article 5 : Exécution financière de la délégation
Le délégant s’engage à fournir, en temps utile et notamment en fin de gestion, tous les éléments de prévision et de suivi budgétaire demandés par le délégataire. En particulier, les intrapreneurs fournissent à l’équipe de la DINUM en charge du programme xxxx.xxxx.xx toutes les informations utiles à la passation des commandes et à la validation des services faits.
Dès la signature de la présente convention, le délégant :
- procède aux demandes de paramétrage d’habilitations de CHORUS auprès de l’agence pour l’informatique financière de l’État ;
- met à disposition les montants maximum suivants dès la signature de la présente convention pour les autorisations d’engagement et les crédits de paiements sur l’UO 0181-CPRI-ELAB :
P181 | AE | CP |
2021 | • Fonds DGPR 400k€ | • Fonds DGPR 400k€ |
Le délégataire est chargé, en sa qualité de pouvoir adjudicateur, de la passation, de la signature et de l’exécution des actes juridiques (marchés publics, accords-cadres, conventions, etc.) nécessaires au développement des services numériques visées par la présente convention.
Pour assurer ses missions, le délégataire se voit confier par le délégant la gestion de crédits rattachés à l’unité opérationnelle 0181-CPRI-ELAB
Le délégant fournit en temps utile tous les éléments d’information dont le délégataire a besoin pour l’exercice de sa délégation, notamment les références d’imputation de la dépense et tout élément relatif à la certification du service fait.
Références Chorus : | |
Axe ministériel 1 | TRACKDECHETS |
Domaine fonctionnel : | 0181-01-02 |
Centre financier : | 0181-CPRI-ELAB |
Activité(s) : | 018101SE2203 |
Centre de coût : | DININCUB75 |
Le délégataire est chargé de retranscrire les opérations de dépenses dans le système d’informations financier de l’État CHORUS, en lien avec le centre de services partagés financiers des services du Premier ministre.
Le comptable assignataire de la dépense est le contrôleur budgétaire et comptable ministériel (CBCM) des services du Premier ministre. Une copie de la convention est transmise au CBCM des services du Premier ministre et au CBCM du délégant.
Le délégataire s’engage à rendre compte au délégant au terme de la convention des dépenses réalisées et de l'avancement des travaux et à présenter à cette occasion les prévisions de commande et de consommation du budget.
La somme des crédits engagés par le délégataire ne pourra dépasser la limite du montant alloué par le délégant. En cas d'insuffisance des crédits, le délégataire informe le délégant sans délai. A défaut d'ajustement de la dotation, le délégataire suspend l'exécution de la délégation. Dans l'hypothèse où les crédits mis à disposition par le délégant ne seraient pas entièrement consommés par le délégataire, celui-ci s'engage à en informer le délégant dans les meilleurs délais.
Article 6 : Modification du document
Toute modification des conditions ou modalités d’exécution de la présente convention, définie d’un commun accord entre les parties, fait l’objet d’un avenant de droit dont un exemplaire est transmis au contrôleur budgétaire et comptable ministériel du Premier ministre et du délégant.
Article 7 : Durée et résiliation de la convention
La présente convention prend effet à sa date de signature. Elle est conclue jusqu’au 1er juillet 2022.
La période d’effet de la convention couvre l’engagement des dépenses, la réalisation des prestations et le paiement des dépenses effectuées dans le cadre de la délégation de gestion sur l’UO.
De plus, la durée d’exécution du ou des bon(s) de commande sur marchés, passé(s) dans le cadre de cette convention, devra être conforme aux règles édictées dans le marché utilisé.
Conformément à l’article 5 du décret 2004-1085 du 14 octobre 2004 visé en référence, il peut être mis fin à tout moment à la délégation de gestion par l’une des parties, sous réserve du respect d’un préavis de trois mois.
La résiliation de la convention entraîne de plein droit la résiliation des services associés.
Article 8 : Publication de la délégation
La présente convention sera publiée selon les modalités propres de chaque département ministériel concerné, conformément à l’article 2 du décret n° 2004-1085 du 14 octobre 2004. Elle sera notamment publiée sur le site xxxxxxxxxxxx.xx géré par le service d’information du gouvernement (xxx.xxxxxxxxxxxx.xx/xxxxxxxxxxxx-xxxxxxxxxxx/xxxxxxxxxxx-xx-xxxxxxx) et par le délégataire sur la plateforme xxxx.xxxx.xx.
Fait à Paris, en deux originaux, le 20 janvier 2021
Le délégant, Le délégataire,
L’adjoint au Directeur général de la prévention des risques
Xxxxxxx XXXXX
Signature numérique de Xxxxxxx XXXXX xxxxxxx.soule
Signature numérique de XXX XXXXX XXXX
xxxxxxx.soule
Date : 2021.01.20 15:58:31
+01'00'
Date : 2021.01.21
07:59:43 +01'00'
Annexe 1: tableau de répartition des responsabilités RGPD
DINUM | Délégant | |
Respect de la vie privée (DPD, registre et conformité générale) | Obligation de transparence et de traçabilité et mise en œuvre des principes de privacy by design | Mise en œuvre du cadre juridique en vigueur et notamment les textes*, la désignation du DPD, la tenue du registre des traitements. Obligation de transparence et de traçabilité et instructions pour la mise en œuvre des principes de privacy by design* |
Données traitées dans le cadre du téléservice | Mise en œuvre du traitement pour les seules finalités, destinataires, durées de conservation… fixés par le partenaire | Détermination des finalités, destinataires, durées de conservation… Fourniture des données nécessaires à la réalisation du traitement |
Sécurité du traitement et confidentialité (organisationnel) | Obligation de confidentialité des agents et sous-traitants. Assurer que seuls les agents habilités ont accès aux données traitées. Mise en œuvre des mesures de sécurité déterminées par le partenaire | Analyse de risques et détermination de mesures à prendre pour les couvrir ou les atténuer* Obligation de confidentialité des agents et sous-traitants. Assurer que seuls les agents habilités ont accès aux données traitées. |
Violation de données | Obligation d’alerte, d’assistance et de conseil, sans délai : • Notification de toute violation de données selon la procédure définie par le responsable de traitement. • Mise en œuvre de toute mesure garantissant un niveau de sécurité adapté aux risques. | Définition de la procédure de notification en cas de violation de données*. Obligation de tenir le registre des incidents de sécurité. |
Obligation d’information (de la CNIL et, le cas échéant, des personnes concernées) pour toute compromission détectée (agent, sous-traitant, réseau) | ||
Sécurité des systèmes d’information | Analyse de risque et homologation RGS Mise en œuvre des mesures de sécurité nécessaires susceptibles de garantir la confidentialité du traitement et l’intégrité des données traitées, y compris auprès de ses sous-traitants (anonymisation, hébergement, gestion des habilitations…) | Partage des pratiques mises en œuvre habituellement dans la direction. Participation à l’analyse de risque et homologation RGS [Garantie que les mêmes mesures de sécurité sont mises en œuvre en interne (accès aux données, export…) par la direction ou ses sous-traitants.] |
Droits des personnes | Accompagnement à la formalisation de l’exercice des droits. Mettre en œuvre le devoir d’information et les droits des personnes selon les modalités prévues par le responsable de traitement. | Devoir d’information des personnes concernées Fixation du cadre applicable (nature des droits, exception au cadre général de la protection des données) ; Déterminer les modalités d’exercice des droits. |
Transfert (ou arrêt) de la start-up | Le cas échéant, transfert des données au partenaire et, de façon générale, suppression de l’ensemble des données transférées et destruction des copies | Assurer en interne tout le volet sécurité du SI si transfert de la start-up au responsable de traitement. |
Sous-traitance | Information préalable des sous- traitants mobilisés par la DINUM dans le cadre du projet. Engagement de confidentialité Veiller à ce que les sous-traitants soient sensibilisés à la protection des données. | Information préalable des sous- traitants mobilisés par le responsable de traitement dans le cadre du projet. Engagement de confidentialité Veiller à ce que les sous-traitants soient sensibles à la protection des données. |
Travaux de conformité (mentions d’information, analyse d’impact, mentions légales et CGU) | Fournit l’ensemble des informations nécessaires à la réalisation de la documentation. | Rédaction de l’ensemble de la documentation*. Demande d’avis à la DINUM avant la publication de tout texte juridique relatif au traitement* |
Audits | Se rendre disponible aux sollicitations des auditeurs. Proposer des mesures de contingences, indiquer la faisabilité et les prioriser. | Supervision du traitement et réalisation des audits nécessaires (RGS, RGAA, …) |
Territorialité | Engagement à traiter les données à caractère personnel sur le territoire national ou européen. | |
RH | Mobilisation des personnels susceptibles de participer à la bonne sécurisation du projet. | Mobilisation des personnels susceptibles de participer à la bonne sécurisation du projet. |