Entre
Avenant n°2
Contrat d’engagement entre Bordeaux Métropole et
la commune de Mérignac
Règlement général de protection des données (RGPD)
Entre
Bordeaux Métropole représentée par son Président, Monsieur Xxxxx Xxxxx, dûment habilité par délibération, n° …………. du 2018,
d'une part,
Et
La commune de Mérignac représentée par son Maire, Monsieur Xxxxx Xxxxxxx, dûment habilité par délibération n°………………… du 2018
d'autre part,
VU le contrat d’engagement signé en date du 15 féxxxxx0000 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxx Xxxxxxx, Maire de Mérignac.
VU l’avenant n°1 signé en date du 01/01/2018 Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxx Xxxxxxx, Maire de Mérignac.
VU le Règlement Général pour la Protection des Données(RGPD) 2016-679, du Parlement européen
et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :
- chaque administration désigne un « délégué à la protection des données » ;
- tous les acteurs intervenant sur un même traitement de données à caractère personnel, qu’ils aient la responsabilité de « responsable de traitement », de « responsable conjoint de traitements » ou de « sous-traitants » au sens du R GPD, organisent contractuellement la répartition des obligations qu’il définit.
Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole, l’application du RGPD implique simultanément les responsabilités :
- de la commune membre du service commun de la Direction Générale du Numérique et des Systèmes d’Information (DGNSI), qui conserve légalement la qualité de « responsable de traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le système d’information de Bordeaux Métropole pour son compte ;
- de Bordeaux Métropole qui, pour chaque traitement de données à caractère personnel mis en œuvre via son système d’information mutualisé, pour le compte de la commune, peut recevoir, selon le cas, la qualité de « responsable de traitement conjoint » ou de « sous-traitant » au sens de ce texte.
Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte
Considérant la volonté des parties, de réviser les niveaux de services en application de l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,
Il est convenu et arrêté ce qui suit dans le présent avenant :
ARTICLE 1 : OBJET
Le présent avenant au contrat d’engagement a pour objet de décrire les engagements respectifs des parties dans le contexte de la mutualisation du système d’information entre Bordeaux Métropole et la Commune, afin de se conformer aux exigences du règlement RGPD.
Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.
Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques »,
« chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les
moyens opérationnels et organisationnels mis en place pour optimiser la sécurité du système d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées. En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.
Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux termes du contrat d’engagement.
ARTICLE 2 : MODIFICATION DES ANNEXES
L’annexe du domaine concerné par ces révisions de niveaux de services est :
Domaines | Objet de l’avenant |
Numérique et systèmes d’information | Règlement général pour la protection des données |
Cette annexe est modifiée et remplace celle établie précédemment.
ARTICLE 3 :
Les autres articles et annexes au contrat d’engagement et ses avenants restent inchangés.
ARTICLE 4 :
Cet avenant entre en vigueur au 1er juillet 2018.
Fait à Bordeaux, le , en deux exemplaires.
Pour Bordeaux Métropole, Le Président,
Pour la commune de Mérignac, Le Maire,
Xxxxx Xxxxx Xxxxx Xxxxxxx
ANNEXE
- Numérique et systèmes d’information
ANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION – CONTRAT D’ENGAGEMENT
COMMUNE DE MERIGNAC
Propos liminaire à l’ensemble du domaine Numérique et Systèmes d’Information
La transition numérique est un mouvement de fond, qui s’accentue fortement. De simple adaptation et incorporation de nouveaux outils, elle devient un mouvement global, qui interroge les entreprises, les collectivités, les citoyens, les modes d’organisation, la culture et les champs d’actions de toutes les structures, transforme progressivement la société dans tous les domaines : économique, social, politique, éducatif, urbain, culturel, administratif…
Relever ces défis nécessite d’être innovant à tous les niveaux, d’anticiper le rythme soutenu d’évolution des technologies, de garantir la sécurité de l’information, de mettre en place des schémas de développement adaptés aux attentes de la population, des entreprises mais aussi aux enjeux majeurs de performance publique dans un contexte de ressources contraintes.
La mutualisation du numérique et des systèmes d’information au sein de service commun témoigne de la volonté, forte et partagée des communes et de la métropole de co-construire et développer ensemble une politique numérique ambitieuse au service et en support des politiques publiques communales et métropolitaines.
La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies d’ échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle doit également favoriser la construction d’une offre de service commune et apporter des garanties en matière de performance, de disponibilité et de sécurisation des infrastructures, des plateformes et des données, le tout dans un souci de développement durable.
Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune et de contrats d’engagement objet du présent document.
DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION SOUS-DOMAINES : A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES SYSTEMES D’INFORMATION |
I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’information
Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.
II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information
Activités mutualisées par la Commune (y compris son CCAS) |
A- Co-construction de la stratégie numérique communale, gouvernance et sécurité |
• Animation de la veille technologique et de l’innovation au service des métiers • Co-construction du Schéma Numérique Communal pluriannuel (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune : o Des projets propres à la commune ; o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèque numérique en ligne, télé services, …) o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement numérique du territoire, RH, Finances, …). • Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS Pour l’année 2016, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016. |
Animation du rayonnement et des événements numériques majeurs (ex : Semaine Digitale) |
• Gestion de la cartographie consolidée du système d’information intégré en cohérence avec le schéma d’urbanisation numérique et SI des services communs. • Définition et contrôle de mise en œuvre des méthodes qualité et des normes applicables au domaine numérique et système d’information |
• Elaboration de la politique de sécurité des systèmes d’information • Management de la sécurité de l’information, gestion des risques, audits et conformité • Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant |
B- Réalisation des projets numériques de compétence communale |
Etudes et conseil : |
• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication
3
• Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue • Pré-étude d’avant-projet • Expertise |
• Pilotage et management des projets en lien avec les maitrises d’usage • Etudes, conception et spécifications • Passation et exécution des marchés • Réalisation, développements et paramétrage • Qualification, recette, intégration et pré-production • Mise en production et déploiement • Accompagnement au changement et formation • Bilan de projet |
• Maintenance corrective et réglementaire • Maintenance évolutive |
C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1) |
Conception, préparation et mise à disposition d’un poste et d’un environnement de travail standardisé |
Gestion du parc de matériel |
Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail |
• Assistance aux utilisateurs (agents, élus et publics identifiés) : o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI o Résolution et clôture du ticket |
Formation des utilisateurs en matière de poste et environnement numérique de travail (en lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation) |
Suivi des interventions et tableaux de bord |
D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information (2) |
Audit, conseil et conception des infrastructures • Audit et conseil • Ingénierie • Mise en place, administration des infrastructures informatique et des réseaux |
Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information • Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un prestataire hébergeur • Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…) • Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et des infrastructures • Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des engagements |
• Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité) |
Hébergement, exploitation et maintien en condition opérationnelle des réseaux • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures et équipements (éléments actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des réseaux GFU, WIFI privés et publics |
(1) On entend ici par « Poste et environnement numérique de travail / assistance utilisateurs », l’ensemble des moyens mis à la disposition des utilisateurs pour leur permettre notamment de travailler, se connecter, éditer, être informé, communiquer. Sont notamment couverts par ce domaine :
• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,
• Les applications indispensables au fonctionnement du terminal (systèmes d’exploitation, licences matérielles et d’environnements, …),
• Les outils bureautiques et collaboratifs dont mail,
• Les services d’impression et de numérisation : individuels et collectifs,
• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),
• L’accès à internet et les abonnements de données éventuels,
• Les services de sécurisation du poste, de stockage et de sauvegarde,
• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou incidents.
(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser progressivement avec la direction des bâtiments le cas échéant.
III/ Modalités de mise en œuvre
III-a/ Les responsables en charge des activités du domaine Numérique et Systèmes d’information s’engagent à mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable et transparente entre les communes et le service commun métropolitain, en portant une attention toute particulière à :
- Garantir le maintien du niveau de service actuellement disponible et assurer le respect des engagements pris, qu’il s’agisse de niveau de performance, d’équipement ou de plage horaire d’intervention. Veiller notamment à la disponibilité et la continuité de service des applications métiers, au stockage et à la conservation des données ;
- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;
- Mettre en œuvre des approches globales et des réflexions transverses dans une logique de convergence permettant in fine de dégager des marges de manœuvre source de nouveaux projets et d’amélioration de la qualité de service ;
- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de plateformes applicatives et technologiques.
D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :
• Mettra en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de premier niveau, la gestion des incidents et des demandes des utilisateurs ;
• Favorisera la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;
• Définira une offre de service s’appuyant sur de nouveaux standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, ….). Il s’agira également de mettre en place des outils et processus d’intervention qui s’inspireront des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;
• Consolidera les infrastructures dans des salles informatiques sécurisées. La métropole se réserve la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24 7 jours/7 ou encore des besoins ponctuels de capacité.
L’ensemble de cette dynamique s’appuyant sur une approche basée sur des points de rencontre réguliers :
- tant en format « individuel » entre la commune et le service commun, notamment au travers de la mise en place d’un point de contact unique privilégié assuré, pendant la phase transitoire, par l’ancien DSI
- qu’en format coopératif : entre les communes ayant fait le choix de la mutualisation et le service commun.
III-b/ Les modes de fonctionnement :
Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la commune et le service commun de la Métropole concernant le domaine Numérique et Systèmes d’Information.
Bordeaux Métropole et les communes s’engagent à formaliser des modes de fonctionnement à la mise en place des services communs, les éléments présentés ci-après constituant de premiers éléments explicatifs des modes de fonctionnement envisagés. L’ensemble des modes de fonctionnement qui seront progressivement mis en œuvre s’appuieront sur des référentiels de bonnes pratiques déjà déployés dans plusieurs collectivités impliquées dans la mutualisation. Ainsi le contenu de l’ensemble de ces annexes s’est fortement appuyé sur ces documents de référence tels que ITIL (Information Technology Infrastructure Library), ISO 9001, CMMI (Capability Maturity Model for Integration), COBIT (Control Objectives for Information and Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes pratiques en matière de sécurité des SI).
DOCUMENTS DE REFERENCE
L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique par commune centré sur les services à la population : proximité, éducation, culture, citoyenneté, social, … Ce document intégrera également les projets métropolitains et transverses déployés sur la commune (ex. Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH ,…). Ce schéma, élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune et le service commun, constituera le document de référence pour planifier et suivre l’ensemble des projets numériques portés sur la commune.
Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises, l’université, les écoles et les associations.
GOUVERNANCE :
Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent contrat d’engagement, il est proposé de mettre en place la comitologie suivante :
Comité numérique stratégique communal
• Objet : Elabore, valide et porte le schéma numérique pour la commune, sa mise à jour annuelle et assure un point d’avancement à mi- année sur les projets prévus. Assure les arbitrages éventuellement nécessaires en matière de contrat d’engagement.
• Participants :
o Pour la commune : Elu en charge du numérique (ou d’un représentant désigné par le Maire), des élus thématiques, selon les dossiers abordés, du Directeur Général des Services et des DGA concernés.
o Pour le service commun : le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition), les directeurs en charge des programmes numériques concernés, le Directeur Général en charge du service commun.
• Fréquence : annuel à bi-annuel
Comité de suivi du contrat d’engagement :
• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration éventuelle et des nouveaux besoins à anticiper : nouveaux projets, nouveaux équipements, …
• Participants :
o Pour la commune : le Directeur Général des Services (ou son représentant), référent pour le suivi du contrat d’engagement.
o Pour le service commun : un représentant de la Direction d’appui administrative et financière, le Directeur en charge de l’assistance et de l’offre de service, le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).
• Fréquence : trimestriel
Point d’avancement opérationnel :
• Objet : Suivi continu des activités liées au Numérique et aux SI pour la commune : partage des travaux en cours, des priorités et points d’attention identifié, suivi de difficultés (incidents) et anticipation d’actions à venir (déménagement). A ces comités s’ajouteront une participation aux comités de directions en cas de présence de points de décision relatifs aux SI ;
• Participants :
o Pour la commune : référent pour le suivi du contrat d’engagement.
o Pour le service commun : responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).
• Fréquence : formel toutes les deux semaines.
A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le cadre des projets. D’une manière générale le chef de projet du service commun et le chef de projet métier - maître d’usage managent le projet en conformité avec les bonnes pratiques de la profession. Par exemple, ils préparent au démarrage d’un projet, un "plan projet " qui permet de cadrer les modalités de la collaboration :
• Objectifs du projet ;
• Définition des gains attendus et du ROI (Retour sur Investissement) et des indicateurs de gains qualitatifs ou quantitatifs attendus, retour sur les coûts et charges d'une part, les bénéfices attendus d'autre part ;
• Plan de financement du projet ;
• Principaux intervenants impliqués de part et d'autre, hauteur et nature de l'engagement sur la période du projet pour assurer que les ressources nécessaires seront bien présentes et autoriser le démarrage de l'opération ;
• Modalités de consultation des entreprises ;
• Planning global du projet, principaux jalons, échéances majeures pour chacun des partenaires : fin de conception et confirmation des charges, recette et validation du travail par les utilisateurs avant démarrage, par exemple ;
• Dispositif de gestion du changement, d'accompagnement des utilisateurs dans les évolutions des processus de leur métier.
ROLES ET RESPONSABILITES
Rôles et responsabilités globales sur le domaine | |
Responsable pour le service commun | Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général du service commun. |
Responsable pour la commune | Responsable du suivi du contrat d’engagement représentant le Directeur général des services et sous couvert de l’élu en charge du numérique |
Types de saisines | A- Co-construction de la stratégie numérique communale, gouvernance et sécurité | B- Réalisation des projets numériques de compétence communale | C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs | D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information |
Saisine | Commune : Référent | Commune : Chef de | Commune : | Commune : |
ordinaire | en charge du suivi du contrat | projet - maîtrise d’usage | utilisateur (élu, agent, citoyen, …) | Responsable applicatif métier |
d’engagement | Service commun : | Service commun : | Service commun : | |
Service commun : Responsable du service commun en charge du contact avec la commune | Chef de projet service commun | Centre d’appel | Chefs de service de la Direction des Infrastructures et de la Production | |
concernée (Direction | ||||
des Systèmes | ||||
d’information actuel | ||||
pendant la phase de | ||||
transition) | ||||
Saisine en urgence | Commune : Directeur Général Adjoint de la commune | Commune : Directeur métier Service commun : | Commune : Chef de service de l’utilisateur Service commun : | Commune : Chef de service en charge de l’application |
Service commun : | Directeur des | Chef de service | Service commun : | |
Adjoints au Directeur | programmes | centre d’appel et | Directeur des | |
Général du service commun. | numériques concerné | pilotage | Infrastructures et de la Production | |
Saisine | Commune : Directeur | Commune : Directeur | Commune : Directeur | Commune : Directeur |
exceptionnelle | Général des Services Service commun : | Général des Services Service commun : | en charge de l’utilisateur | en charge de l’application |
Directeur Général du | Adjoint Directeur | Service commun : | Service commun : | |
service commun. | Général en charge | Directeur de | Adjoint au Directeur | |
des programmes | l’assistance et de | Général en charge de | ||
numériques | l’offre de service | la Stratégie et des | ||
Systèmes | ||||
d’Information |
IV/ Les engagements de service
IV-a/ Engagements de service généraux et priorités
Les principales priorités / dossiers prioritaires en matière de numérique et de Systèmes d’Information sont les suivants :
Mise en place, au regard des engagements de l’équipe municipale (feuille de route 2015- 2020), d’une stratégie numérique : volet séniors, e-éducation, services aux usagers, simplification des démarches administratives, etc.
Mise en œuvre d’une solution de gestion de la rela tion usagers, dans le cadre de la démarche de refonte de la relation usagers engagée par la collectivité.
Mise en œuvre d’une solution de gestion électroniq ue de documents, en cohérence avec la démarche engagée par la collectivité de dématérialisation progressive des documents (y compris dématérialisation des échanges comptables) .
IV-b/ Les indicateurs et valeurs cibles
Des éléments de volumétrie seront à identifier pour disposer d’une référence de volume d’activités transférées. Si le volume de dossiers traités par an augmente en année N, cette variation sera à prendre compte dans l’analyse de l’atteinte des niveaux d’engagement.
Sous-domaines | Engagements de | Indicateurs | Conditions de | |||
de | service | (Définition/Mode de calcul de | Périodicité | Source de | Niveau de service constaté | réalisation de |
mutualisation | du domaine Numérique et systèmes d’information | l’indicateur) | de suivi | suivi* | (et volumétrie correspondante) | l’engagement (pré-requis) |
A. Co- construction de la stratégie Numérique communale, Gouvernance et Sécurité | Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la commune | Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma Numérique communal (sur 3 ans) | Annuelle | Livrable | Existence : Oui / Non Fréquence de mise à jour : | |
Engagement 1.2 : Maitriser les risques liés aux systèmes d’information | Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la base de la norme ISO 27001 | Annuelle | Audit | Existence : Oui / Non Niveau constaté par dimension : conformité, continuité, incidentiel, organisation/RH, Accès | ||
Fréquence de mise à jour : Audit annuel | ||||||
Charge prévisionnelle / réalisée en j*h | ||||||
Engagement 2.1 : Réaliser les projets conformément aux | Indicateur 2.1.1 : Charge consacrée aux projets | Mensuelle ou trimestrielle | Outil de gestion de projets | consacrée : • Aux activités communales : XXX - XXX • Aux activités transverses XXX - XXX • Aux activités mutualisées XXX - XXX | ||
B. Réalisation des projets numériques de compétence communale | priorités partagées et définies au schéma numérique communal | Indicateur 2.1.2 : Taux de réalisation des projets conformément au Schéma numérique communal | Annuelle | Outil gestion de projet | Taux de consommation budgétaire Nombre de projets prévus / réalisés | |
Engagement 2.2 : | ||||||
Maintenir les applications métiers du système d’information | Indicateur 2.2.1 : Etendue du parc applicatif maintenu | Annuelle | Outil gestion de projet | |||
de la commune | ||||||
C. Fourniture des postes et environnements numériques de travail / | Engagement 3.1 : Assurer le renouvellement des postes et environnements | Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels | Annuelle | Inventaire du parc des PENT | A calculer |
assistance | numérique de travail | |||||
utilisateurs | (PENT) | |||||
Engagement 3.2 : | A calculer en fonction des données existantes | |||||
Maintenir les horaires | Indicateur 3.2.1 : Heures | Données | de la commune : | |||
d’ouverture du service | d’ouvertures de l’assistance / | Annuelle | d’exploitation | Nb d’heures d’ouverture de | ||
d’assistance /support de | support sur le niveau 1 | du service | l’assistance/support par jour | |||
la commune | NB d’heures de permanence en commune | |||||
Engagement 3.3 : Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais | Indicateur 3.3.1 : Délai de prise en compte des demandes | Mensuelle ou trimestrielle | Centre d’assistance et de support utilisateurs | A calculer sur la base de l’existant en cas d’absence de valeur, un objectif sera défini conjointement pendant l’année 2016 | ||
Indicateur 3.3.2 : Délai de résolution des incidents par criticité | En fonction des capacités démontrées de la commune à mesurer cet indicateur (ex. 70% de résolution en ligne au centre d’appel) | |||||
Engagement 4.1 : | Indicateur 4.1.1 : | Centre d’assistance/ | A calculer sur la base de l’existant en cas d’absence de valeur, un objectif sera défini | |||
D. Hébergement, exploitation et maintien en | Assurer la disponibilité et la continuité de service des applications et services métiers critiques | Délai d’intervention | Mensuelle ou trimestrielle | support utilisateurs + direction des infrastructures et de la | conjointement pendant l’année 2016 | |
Indicateur 4.1.2 : Délai de remise en service | En fonction des capacités démontrées ou des contrats signés avec des tiers par la commune | |||||
conditions | production | |||||
opérationnelles (MCO) des systèmes | Engagement 4.2 : Assurer le stockage et la | Indicateur 4.2.1 : Délais de restauration | Direction des | Ex : varie selon le support de sauvegarde – entre ½ heure et 1 jour | ||
d’information | conservation des données et des | Indicateur 4.2.2 : Durée maximum | Annuelle | infrastructures et de la | ||
informations de la | d’enregistrement des | production | Ex : ½ journée | |||
commune | données qu’il est acceptable | |||||
de perdre |
*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de satisfaction, certification…). Cf article 2 du contrat d’engagement.
V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement »
Contexte
Le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », entre directement en vigueur au sein de chaque état membre de l’Union Européenne le 25 mai 2018. Il vise à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel. Ce règlement renforce notamment :
- Le marché commun de l’économie numérique, en harmonisant les législations des états membres.
- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant un véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de nouveaux droits tels que la portabilité des données, permettant de faire transférer ses données d’une entreprise à l’autre.
- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de
« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de
« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.
Tous, à égalité, sont désormais tenus de respecter les nouvelles exigences de sécurité imposant de prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens, avant la mise en œuvre de chaque nouveau traitement ainsi que les exigences d’inventaire et de documentation de la conformité des traitements.
V-a/ Définitions
En conformité avec les textes applicables il est défini que :
- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :
o directement (nom prénom, photo, e-mail nominatif…)
o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)
- Constituent des « traitements de données à caractère personnel » toutes opérations portant sur de telles données quel que soit le procédé utilisé : collecter, enregistrer, organiser, conserver, modifier, combiner, transmettre…)
- Sont concernés au premier chef les traitements informatisés, mais aussi les fichiers « papier » s’ils constituent des traitements stables, organisés méthodiquement, accessibles selon des critères déterminés (plan de classement, ordre alphabétique ou chronologique, formulaires nominatifs…).
- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine les finalités et les moyens d’un traitement de données à caractère personnel considéré.
- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les finalités et les moyens d’un tel traitement.
- A qualité de « sous-traitant », la personne physique ou morale qui traite les données pour le compte du responsable de traitement. Le sous-traitant peut lui-même recourir à des « sous-traitants ultérieurs » dans le respect de conditions contractuellement définies par le responsable de traitement.
- A qualité de « Délégué à la Protection des Données » d’un organisme (DPO), la personne physique désignée par un acte formel du représentant légal de l’organisme, chargée de piloter et de contrôler la conformité interne des traitements à la législation en vigueur.
- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de traitement résumées comme suit :
1. Principe de licéité, de loyauté, de transparence du traitement
2. Principe de finalité déterminée, explicite, légitime de chaque traitement
3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré
4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin ou leur suppression
5. Principe d’information des personnes dont les données sont traitées
6. Principe de sécurité et de confidentialité des données traitées
7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.
Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale Informatique et Libertés)
V-b/ RGPD- Principes et responsabilités
Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants, susceptibles d’être conjointement engagées.
En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.
Responsabilités communes aux responsables de traitement et sous-traitants
- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des traitements de données à caractère personnel (principe d’accountability).
Ainsi, par défaut, dès la conception, les traitements de données à caractère personnel doivent être paramétrés pour fournir un niveau de sécurité adapté, en priorisant la protection de la vie privée. De véritables « analyse d’impact sur la vie privée » peuvent être requises, ainsi qu’une saisine de la CNIL, par exemple pour des traitements concernant des usages innovants, des données sensibles ou des traitements à grande échelle (principes de security by default et privacy by design).
- Les autorités publiques, qu’elles soient responsables de traitement ou sous-traitant, doivent désigner un Délégué à la protection des données ou « DPO » qui peut être commun à plusieurs organismes.
Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.
- Chacun, responsable de traitement et sous-traitant, doit tenir un registre des traitements de données à caractère personnel effectués. Celui-ci est à produire à toute demande des administrés ou à tout contrôle de l’autorité nationale de régulation, la CNIL.
Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.
Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…
Le sous-traitant recense pour sa part, les catégories de traitement effectuées pour le compte de chaque « responsable de traitement » ainsi que les principales mesures organisationnelles et techniques liées à leur sécurité.
- De façon concertée, toutes les « failles de sécurité » doivent être identifiées pour permettre une déclaration sous 72 heures à l’autorité de contrôle voire, une notification aux personnes concernées. Elles sont également consignées par chacun dans un registre exhaustif.
Responsabilités propres au « responsable de traitement »
- Chaque responsable de traitement est tenu de mettre en œuvre les mesures organisationnelles et techniques permettant d’assurer la conformité et la sécurité des traitements. Il demeure, tout au long du cycle de vie du traitement, le premier garant du respect des « règles d’or ».
Il veille particulièrement à la bonne information des personnes concernées et à la bonne mise en œuvre de leurs droits (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …).
- En cas de responsables de traitements conjoints, ceux-ci doivent définir de façon transparente leurs obligations respectives par voie d’accord écrit. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun d’eux.
- Le responsable de traitement ne recourt qu’à des sous-traitants aptes à appliquer les mesures organisationnelles et techniques appropriées de manière à ce que le traitement soit conforme au RGPD.
Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au sous-traitant qui ne doit agir que sur ordre du responsable de traitement.
Responsabilités propres au « sous-traitant »
Celui-ci a l’obligation de s’en tenir aux instructions documentées du responsable de traitement et de prendre toutes les mesures de sécurité requises conformément à l'article 28 et 32 du RGPD. Il s'agit et notamment de garantir des moyens permettant d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, afin de préserver les données de tout accès non autorisé ou de toute perte ou destruction.
Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour attester de la conformité et pour permettre la réalisation d’audits.
Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.
Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.
Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.
Il ne recourt à des « sous-traitants ultérieurs » que sur autorisation écrite spécifique ou générale du responsable de traitement. Il le tient informé et reste le garant de la conformité aux instructions, des actions ainsi déléguées.
V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information
Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun des traitements de données à caractère personnel mis en œuvre pour son compte.
La Métropole qui met le système d’information mutualisé dont elle est propriétaire à disposition des agents des services communs ou des services municipaux utilisant des traitements pour le compte de la commune, endosse selon le cas :
o le rôle de « responsable de traitement » pour les traitements qui lui sont
propres, 15
o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,
o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le système d’information commun, sans qu’elle en ait défini les finalités et les moyens.
Des tiers, extérieurs à la commune et à Bordeaux Métropole, tels que des fournisseurs, prestataires, délégataires, ou autres, sélectionnés ou désignés dans le respect des règles applicables à leur contrat, peuvent également tenir un rôle de « responsables conjoints », de « sous-traitants » ou de « sous-traitants ultérieurs » en fonction des cadres contractuels en cause.
Chaque entité, Commune ou Métropole, a l’obligation de désigner un « Délégué à la protection des données » (DPO), chargé de veiller à la conformité des traitements de données à caractère personnel de l’entité qui l’a nommé. Il peut être mutualisé entre la Commune et la Métropole, dès lors qu’il est doté des compétences et des moyens nécessaires au bon exercice de ses missions.
Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le Centre communal d’action sociale de cette ville.
Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.
Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des données à caractère personnel.
D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection des données, tout au long de la mise en œuvre des traitements
Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de
« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant mutualisé son système d’information (à défaut, son interlocuteur est le DGS).
V-d/Les obligations spécifiquement souscrites
Le RGPD impose de définir de façon transparente les responsabilités respectives de chacun entre la Commune, responsable de traitement, et Bordeaux Métropole, qui endosse, selon le cas, le rôle de responsable de traitement conjoint ou de sous-traitant. Dans ce but il est expressément convenu ce qui suit :
Les engagements constituant le « socle commun » à toutes les communes, membres du système d’information mutualisé
- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)
Afin de permettre la construction d’un système d’information mutualisé unitaire et rationnalisé, il est convenu par les présentes, que la commune donne délégation générale à Bordeaux Métropole pour sélectionner les sous-traitants fournisseurs ou prestataires, qu’il s’agisse de traitements exclusivement communaux ou de traitements partagés entre les communes et Bordeaux-Métropole.
Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les informations relatives aux prestataires concernés et au contenu des engagements souscrits.
Dans l’hypothèse où la commune exprimerait un besoin spécifique différent de la solution mutualisée ainsi offerte, et sous réserve d’un constat de faisabilité technique validé par les deux parties, il appartiendrait à la commune d’en supporter spécifiquement le coût, et de se conformer au processus standard d’acquisition applicable, conformément à l’article 6 des présentes.
- La gestion des demandes des personnes concernées, hors information concernant les violations de données
Le délai de réponse à toute demande d’exercice de ses droits par une personne concernée (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …), est d’un mois à compter de l’entrée en vigueur du RGPD.
Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.
Préalablement à l’envoi de toute réponse, afin de tenir compte des observations de la commune, elle se rapprochera des services communaux concernés par le traitement en cause et recueillera leurs observations.
- L’information des usagers concernant les « violations de données »
Le RGPD définit un délai de 72 heures pour notifier à la CNIL les « violations de donnée » qui sont des violations de sécurité susceptibles de porter atteintes aux droits et libertés des personnes concernées (pertes de contrôle sur les données, discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation…). Cette notification mentionne les mesures prises pour y remédier et en atténuer les conséquences.
Tout retard doit être motivé auprès de la CNIL. En outre, s’il est estimé que la violation engendre un risque élevé pour les personnes concernées, le responsable de traitement leur communique la violation de données sans délai.
Toutes les violations, notifiées, ou non notifiées (en cas de constat de faible risque pour les droits et libertés des personnes) sont consignées dans un registre, assorti de la documentation retraçant l’ensemble des éléments attestant d’une gestion conforme au RGPD (délai de notification, éléments d’analyse, choix des actions correctives, mesures adoptées pour pallier aux conséquences, informations des personnes…)
La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.
Afin de gérer au mieux les incidents de cette nature touchant aux traitements de données à caractère personnel communaux, dont la prise en charge au sein du système d’information mutualisé s’est effectuée dans le respect des processus définis à l’article 6 des présentes, la commune convient de confier l’intégralité des actions nécessaires pour gérer toute violation de données dans le respect du RGPD, y compris, le cas échéant, l’information des usagers, à Bordeaux Métropole, via son RSSI qui agira en collaboration avec le(s) DPO de Bordeaux Métropole et de la commune.
Préalablement à l’envoi de toute réponse, le RSSI et le DPO de Bordeaux Métropole se rapprocheront des services communaux concernés, pour recueillir leurs observations ou consignes et agir en concertation.
- La désignation du DPO
En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à compter du 25 mai 2018.
La commune a souhaité mutualiser cette fonction avec Bordeaux Métropole. Elle désigne dans les formes requises et avec son accord le DPO concerné. Elle définit dans la lettre de mission qu’elle lui notifie les modalités lui permettant d’assurer sa mission sur le périmètre de la totalité des traitements communaux.
V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD
L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :
V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein d’un « projet numérique » commandé via le service commun DGNSI
Conformément aux principes définis au paragraphe B II/ « Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information supra, les commandes de projets numériques se découpent en 3 phases :
- étude et conseil
- conduite de projet
- maintenance applicative
Conformément à la fiche technique intitulée « commande d’un projet numérique », un « diagnostic d’architecture et de sécurité » est réalisé au cours de l’étape « étude et conseil », en amont de la validation du projet et du lancement des procédures d’acquisition s’y rapportant.
Tout traitement de données à caractère personnel identifié au cours de cette phase implique la saisine du DPO par le chef de projet informatique. Ainsi, lorsque le projet est validé, les procédures requises par le RGPD peuvent être mise en œuvre de concert entre le service commun DGNSI et le ou les DPO de la commune et de Bordeaux Métropole, avant la conception technique du projet (« privacy by design »). La preuve de cette analyse est conservée en vue de documenter le registre et la produire en cas de litige, ou à tout contrôle de la CNIL.
V-e/2- Expression d’un besoin incluant un traitement de données à caractère personnel au sein d’un projet non identifié spécifiquement comme un projet numérique géré par la DGNSI, impliquant une procédure contractuelle traitée par un service de la commande publique
Avec l’objectif d’une administration totalement dématérialisée pour 0000 xx xxxxx x x’xxxxxxxxxx 0000-0000 imposant la saisine de l’administration par voie électronique, la part des projets de marchés d’acquisition, de fourniture, de services ou de travaux, ainsi que la part des délégations de service public, qui comprennent un fort volet numérique, ne cesse de croître. Pour autant ces projets ne constituent pas nécessairement, à titre principal, des projets numériques traités par la DGNSI.
Il appartient en conséquence aux agents chargés de la procédure initiale de mise en concurrence, d’identifier la présence de données à caractère personnel au sein des traitements susceptibles d’être mis en œuvre et de saisir la DGNSI ainsi que le DPO en amont de la rédaction des pièces du dossier de mise en concurrence, conformément à une fiche technique intitulée « conformité au RGPD dans les procédures contractuelles comportant un volet numérique ».
V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable du DPO
Les services communaux ou les services communs peuvent envisager :
- des projets d’évolution de traitements de données à caractère personnel existants (nouvelles extractions pour des analyses prospectives, des croisements, des évolutions des fonctionnalités ou de destinataires…).
- la création directe de nouveaux traitements (projets de traitements bureautiques, utilisation de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).
Ces cas requièrent l’avis préalable du DPO, dès lors qu’ils concernent des données à caractère personnel. Celui-ci orientera, si nécessaire, le demandeur, vers une demande de projet numérique visée au V-e/1.
Conformément à la fiche technique intitulée « saisine directe du DPO », ces projets ne doivent pas être mis en œuvre sans l’avis conforme du DPO de Bordeaux Métropole et de la commune qui l’inscrira (ont) aux registres concernés.
Dans les trois cas présentés ci-dessus (V-e/1, V-e/2, V-e/3) dès lors que la création d'un traitement est validée, les services communs et plus particulièrement la DGNSI ainsi que les directions et services chargés de la commande publique, veilleront à la bonne mise en œuvre des différentes mesures organisationnelles et techniques nécessaires pour garantir un niveau de sécurité des données adapté au risque, conformément au RGPD et à la PGSSI du SI mutualisé.
V-f/Application du droit à l’effacement
Conformément au droit à l'oubli défini par le RGPD, les données ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement consiste :
V-f/1- soit en l'effacement des données personnelles elles-mêmes
V-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes concernées
V-f/3- soit en l'archivage intermédiaire, pendant les durées nécessaires pour les besoins juridiques (preuve, contentieux). Dans ce cas, l'accès aux données est restreint aux personnes habilitées à cette unique fin, par des mesures techniques et organisationnelles appropriées. A l’issue de cet archivage intermédiaires les données font l’objet des mesures prescrites aux articles V-f/1, V-f/2ou V-f/4
V-f/4--soit en l’archivage définitif des données, décidé par le Responsable de Traitement, dans le respect du Code du patrimoine pour des fins archivistiques dans l'intérêt public, ou des fins de recherche scientifique ou historique ou statistiques.
Concrètement, dès lors qu’un traitement a été mis en œuvre dans le respect de l’article V-e/ des présentes, les options V-f/1, V-f/2 et V-f/3 sont appliquées par les services communs de Bordeaux Métropole compétents, et notamment la DGNSI, selon les procédures internes applicables.
Dans l'hypothèse V-f/1, la commune pour laquelle ce traitement est mis en œuvre sera informée préalablement à la date d'effacement prévue afin d'être en mesure de réitérer son accord pour cette action.
Dans l’hypothèse où la commune envisage un archivage définitif de certaines données, il lui appartient, dans le respect de l’article 89 du RGPD, de définir et de mettre en œuvre les moyens et procédures nécessaires pour conserver les données et garantir le respect des droits et libertés des personnes concernées.
V-g/ Gouvernance
Les instances de gouvernance de la sécurité du système d’information mutualisé, décrites au sein de la PGSSI , qui est jointe au référentiel de documents permettent d’aborder les questions liées à la mise en œuvre du RGPD. Trois instances y sont identifiées (comité stratégique de sécurité, comité de pilotage de la sécurité, comité de suivi des actions récurrentes de sécurité).
La PGSSI précise qu’en cas de difficulté avérée entre les préconisations des services de Bordeaux Métropole et les services de la commune, au sujet d’un traitement de données à caractère personnel relevant de la commune, un arbitrage formalisé pourra être recherché auprès du Directeur Général des Services communaux et du Directeur Général des Services de Bordeaux Métropole. L’avis de l’Inspecteur Général des Service de Bordeaux Métropole pourra être également être recherché. Le cas échéant, la CNIL pourra être interrogée.
V-h/ Auditabilite
Le RGPD prévoit que chaque sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et pour permettre la réalisation d’audits y compris des inspections, par le responsable de traitement.
Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents (registre des traitements, registre des violations de sécurité, documentation technique…) afférents.
L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.
V-i/Sensibilisation des personnels
Des campagnes de sensibilisation ciblées seront progressivement organisées par Bordeaux Métropole à compter du premier semestre de 2018, au profit de l’ensemble des agents des services communs. Ces sessions seront ouvertes aux agents communaux concernés par le RGPD.
Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes d’information.
Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de sensibilisation requis pour la bonne application du RGPD.
V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole
Conformément aux cas de figures décrits à l’art V-e/ supra, au titre du RGPD, il apparaît spécifiquement que la responsabilité du Président de Bordeaux Métropole, dans le cadre de la mutualisation du système d’information, peut ressortir, soit de la qualité de « responsable conjoint des traitements », soit de la qualité de « sous-traitant », vis-à-vis de chacun des traitements communaux s’appuyant sur le système d’information mutualisé.
Le système d’information mutualisé constitue un outil commun, qui doit tendre vers la meilleure qualité de services, et notamment la meilleure sécurité et la meilleure conformité aux règles de droit applicables. Il est tenu de procurer un service de confiance aux élus, agents et usagers.
Ce faisant, les parties conviennent expressément, aux termes des présentes, que tout processus de création ou d’acquisition d’un nouveau traitement de données à caractère personnel devra intervenir dans le respect du référentiel documentaire et notamment des règles et processus standard décrits aux termes de « fiches techniques ou de politiques spécifiques » ou autres documents techniques collectivement applicables aux utilisateurs du système d’information, tels que visés à l’article 6 des présentes et notifiés à la commune par courrier au directeur des services.
Ces règles et processus standard sont notamment destinées à permettre la bonne application du RGPD et une bonne sécurité du système d’information.
En cas de non-respect par la commune des processus standardisés prédéfinis et notifiés à celle-ci, Bordeaux Métropole dégage expressément toute responsabilité contractuelle et sera susceptible de demander à celle-ci, réparation de tout débours qui résulterait d’une mise en œuvre de traitements non conformes.
V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du présent avenant
Avant l’entrée en vigueur du présent avenant, ou au plus tard avant le 31 décembre 2018, la commune s’engage à faire réaliser et à fournir à Bordeaux Métropole, un état des lieux exhaustif des traitements communaux de données à caractère personnel antérieurs, ici appelés « traitements communaux antérieurs » transmis lors la mutualisation des services et encore actuellement utilisés pour son compte par des agents communaux ou des agents des services communs. Ce document aura valeur contractuelle.
Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son registre.
Il lui appartient de s’assurer que les traitements communaux antérieurs, clos, sont traités conformément aux dispositions de l’article 8 supra (Application du droit à l'effacement) et de déclarer l’arrêt de ceux-ci auprès du DPO.
Il est expressément convenu que la responsabilité de Bordeaux Métropole ne peut être recherchée à aucun titre que ce soit, concernant l’éventuelle non-conformité au RGPD des traitements communaux antérieurs. La commune dédommagera en conséquence, Bordeaux Métropole, de tout débours ou préjudice qui pourrait résulter d’une non-conformité au RGPD des traitements communaux antérieurs concernés. Un plan d’action relatif aux traitements communaux antérieurs identifiés comme nécessitant une requalification prioritaire sera définie conjointement.
La responsabilité de Bordeaux Métropole est engagée dès lors qu'un traitement communal antérieur aura fait l'objet d'une évolution fonctionnelle demandée par la maîtrise d'usage, traitée par Bordeaux Métropole selon un processus normalisé décrit à l’article 6 des présentes.