Objectif du document :
CONVENTION D'UTILISATION INTELLIGENT APPLICATION FRAMEWORK
Objectif du document :
Une convention d'utilisation est un contrat spécifique à un service qui stipule les conditions liées à l'utilisation d'un service spécifique de la DG Transformation digitale du SPF BOSA (« DG Transformation digitale »).
Il s’agit d’un document formel signé par les responsables des parties qui souhaitent utiliser le service
(« utilisateurs »). En signant une convention d'utilisation, l'utilisateur se déclare d'accord avec les conditions générales des services de la DG Transformation digitale.
Statut : 4.2
Date : 18/10/2021
Contenu
1.1. DESCRIPTION ET FONCTIONNEMENT DU SERVICE 3
1.1.1. Objet de la présente convention 3
1.1.2. Fonctionnement du service 3
1.2.1. Conditions d’accès au service 5
1.2.2. Rôles et responsabilités liés au service 5
1.2.3. Coûts liés à l’utilisation du service 6
1.2.4. Autorisation d’échange de données 7
1.4. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL 8
2.1.1. Disponibilité du service 11
2.1.2. Indisponibilité planifiée 11
1. Conditions spécifiques
1.1. DESCRIPTION ET FONCTIONNEMENT DU SERVICE
1.1.1. Objet de la présente convention
L’Intelligent Application Framework (IAF) est une constellation de services et d’assistance lors de la création de formulaires web et d’applications en ligne où les informations sont préremplies et collectées. La DG Transformation digitale met à disposition un cadre qui permet la gestion, la publication et l'intégration de formulaires web et d’applications en ligne, ainsi qu’un ensemble de services complémentaires et une assistance en vue du développement et de l’exploitation de ces formulaires web et applications en ligne.
La présente convention d'utilisation décrit les conditions d'utilisation de l’IAF (« le service ») et définit les accords concernant l’IAF entre l'utilisateur et la DG Transformation digitale.
1.1.2. Fonctionnement du service
Les formulaires web et applications intelligents affichent automatiquement à l'écran les données disponibles provenant de certaines sources de données des autorités, afin que le citoyen ou l’entrepreneur identifié ne doive plus à nouveau les remplir lui-même. Il s’agit par exemple de données du Registre national ou de la Banque Carrefour des Entreprises. Le citoyen ou l’entrepreneur peut encore modifier ces informations et compléter les champs demandant de nouvelles informations. La Figure 1 illustre ce fonctionnement de manière schématique.
Figure 1 : Représentation schématique du fonctionnement d'un IAF
Le service est proposé dans un modèle appelé Software as a Service (SaaS). Cela signifie que l'utilisateur ne doit ni se procurer de produits spécifiques ni procéder à des installations. Les produits sont installés sur une infrastructure sélectionnée par la DG Transformation digitale et sont configurés par le fournisseur de services de la DG Transformation digitale en vue d’une utilisation par l’utilisateur.
En cas de questions ou de problèmes, les utilisateurs peuvent faire appel au Service Desk de la DG Transformation digitale. Si les exigences changent ou si de nouvelles exigences font leur apparition, les utilisateurs peuvent faire appel, par le biais de leur gestionnaire de services de la DG Transformation digitale, à l’expertise de la DG Transformation digitale ou de son fournisseur de services pour le lancement d’un nouveau calibrage ou pour une assistance dans l’orientation vers d’autres services.
1.2. UTILISATION DU SERVICE
1.2.1. Conditions d’accès au service
Le service ne peut être utilisé que par les utilisateurs ayant suivi la phase de calibrage. La phase de calibrage comprend quelques étapes et dure généralement de 1 à 8 semaines :
- Étape 1 : Outil d’autoévaluation. Via l’outil d’autoévaluation, l’utilisateur peut vérifier la maturité de son projet et identifier les éléments manquants avant d’introduire une demande de projet concrète.
- Étape 2 : Formulaire d’intention. Le formulaire d’intention permet d’introduire une demande de projet concrète. Toutes les informations nécessaires sont demandées afin qu’un projet d’offre puisse être établi.
- Étape 3 : Concertation entre l’utilisateur et la DG Transformation digitale. Pendant la concertation, le scope est clairement défini, les exigences sont discutées et une réponse est donnée aux questions. Le fournisseur de services de la DG Transformation digitale peut ainsi établir une offre complète.
- Étape 4 : Analyse préalable. Le fournisseur de services de la DG Transformation digitale élabore quelques prototypes des formulaires web ou applications à l’aide du système de conception de la DG Transformation digitale, qui peuvent ensuite être validés par l’utilisateur. L’utilisateur fournira également toutes les informations nécessaires pour procéder au développement (détails techniques pour réaliser l’intégration avec le back-end de l’utilisateur, détails techniques pour réaliser des intégrations avec des sources de données de l’utilisateur, etc.).
Après la validation de l’utilisateur, la DG Transformation digitale procédera au développement des formulaires web ou applications. Ce développement s’effectue de manière agile avec des réceptions intermédiaires au sein d’un environnement DevOps avec les automated testing pipelines nécessaires intégrés.
Après le développement, la DG Transformation digitale et l’utilisateur testent et valident les intégrations avec différents back-ends, source service consumers, portails et content syndication databases.
En cas de succès, les formulaires web et applications réalisés sont rendus accessibles au public cible. La présente convention d'utilisation entre en vigueur au début de la phase de calibrage.
1.2.2. Rôles et responsabilités liés au service
Chaque utilisateur est responsable des services publics relevant de sa compétence, même si, pour la fourniture de ces services, il utilise partiellement des applications mises à disposition par d’autres entités.
Cela signifie concrètement que chaque utilisateur est responsable des informations et des services qu’il offre, y compris les formulaires web et applications intelligents et qu’il doit communiquer ce fait au visiteur. Si souhaité, des informations peuvent être reprises d’un autre service public, moyennant l’approbation de ce dernier. À ce sujet, on veillera à ce que les informations reprises soient correctes et actualisées à temps et à ce que la source soit mentionnée.
L’utilisateur concerné assume la responsabilité des dommages engendrés par des erreurs dans les informations qu’il diffuse. Cela implique la responsabilité du contenu des informations, l’actualisation des informations, le respect de la législation sur l’emploi des langues et de la législation relative à la vie privée, l’utilisation d’hyperliens et de métatags, etc.
La mise en ligne et l’actualisation des informations se font par l’utilisateur concerné lui-même ou sous sa responsabilité.
L’utilisateur est responsable des informations qu’il collecte par le biais des formulaires et applications en ligne. Si, dans ce cadre, des données à caractère personnel sont traitées, elles doivent l'être sous sa responsabilité conformément à la législation applicable en matière de protection de la vie privée. L’utilisateur prévoit entre autres une déclaration de confidentialité.
L’utilisateur est responsable des aspects fonctionnels qui sont fournis pendant la phase de calibrage et qui mènent au développement des formulaires web et applications intelligents.
La DG Transformation digitale est à son tour responsable de la prestation de services techniques, qui sera spécifiée au point 2, « Niveaux de service ».
L'utilisateur respectera les directives techniques et de sécurité qu’il reçoit de la DG Transformation digitale et de ses partenaires IAF concernant les services. Cependant, la responsabilité finale de la sécurité et de la gestion des risques concernant les formulaires et leur contenu incombe toujours à l’utilisateur.
1.2.3. Coûts liés à l’utilisation du service
Le calibrage de formulaires web et d’applications intelligents est payant et se fait sous forme de projet dans le cadre d'une mission partielle relevant de l'accord-cadre M1080 attribué au fournisseur de services de la DG Transformation digitale. L’utilisateur effectue le paiement directement au fournisseur de services.
L’utilisateur peut faire appel au cahier spécial des charges M1080 pour la conception, le développement et la mise en production d'applications, de services, de composants réutilisables et de plateformes.
Pour faire appel au cahier spécial des charges, l’utilisateur procède comme suit.
L’utilisateur introduit une demande et le fournisseur de services fait, sur la base des informations disponibles, un projet d’offre comprenant au minimum les éléments suivants :
o Une analyse préalable mentionnant et décrivant brièvement les différentes EPICs
o Un budget pour chaque EPIC (estimations ventilées par profil)
o Une catégorisation pour chaque EPIC en must have, should have ou could have (cf. MoSCoW).
o Un planning
Lorsque l’offre correspond aux attentes, l’utilisateur peut attribuer la réalisation des EPICs dans l’offre. L’exécution a lieu comme suit :
o Chaque mission cadrant dans ces cas spécifiques doit être décrite dans des tickets EPIC dans le système de gestion Agile de la DG Transformation digitale ;
o Les tickets EPIC doivent comprendre les caractéristiques suivantes avant toute prestation de services :
▪ Une personne désignée chez le client qui acceptera la mission, généralement le Product Owner ou une personne désignée par le Product Owner
▪ La date de réception prévue
▪ Le budget prévu en jours/homme, ventilé par profil
▪ Definition of done : le résultat escompté, décrit suffisamment clairement pour que les développeurs sachent ce qui doit être produit et la base de référence par rapport à laquelle le produit livré sera évalué en vue de son acceptation.
o Avec des Must have EPICs à réaliser, celles-ci constituant une obligation de résultat.
o Le scope de Should have et Could have EPICs peut être adapté en fonction des priorités définies par le Product Owner. Dans certains cas, il est même possible de déprioriser complètement les EPICs en les mettant dans la catégorie Won’t have.
o La partie exécutante doit toujours motiver et documenter de telles modifications dans le système de traçage Agile. La décision concernant la priorisation incombe toujours au Product Owner et doit être documentée dans le système de traçage Agile.
La description d’un Work Package doit s’effectuer à l’aide de certains templates mis à disposition par la DG Transformation digitale (pour le Work Package proprement dit, et le cas échéant pour les descriptions de produits des éléments nécessaires à l’élaboration du Work Package).
Chaque offre demandée sera par défaut à prix global forfaitaire.
Les prestations dans le cadre de l'exploitation et du support des services et du fonctionnement de l'exploitation, de l'infrastructure et des opérations (support de la plateforme) débutent dès que le travail réalisé est mis en service par l’utilisateur. L’exploitation forfaitaire annuelle telle que décrite au chapitre
5.5.2.2 du cahier spécial des charges a lieu aux conditions prévues dans le contrat-cadre (10 % des frais des développements et configurations spécifiques/an).
1.2.4. Autorisation d’échange de données
L'utilisateur déclare disposer des autorisations (via délibération, AR, etc.) ou protocoles nécessaires pour récupérer par le biais du formulaire en ligne des données provenant d’une source de données comprenant des données pour lesquelles une telle autorisation/un tel protocole est requis(e). L'utilisateur est responsable de l’obtention et du maintien des autorisations/protocoles. L'utilisateur veille, le cas échéant, à demander le consentement préalable et éclairé de l'utilisateur final.
1.3. SÉCURITÉ
o L’IAF utilise les services CSAM relatifs à l'identification, l'authentification et l'autorisation à partir du niveau substantiel si une authentification est nécessaire.
o La DG Transformation digitale vise à sécuriser l’IAF de manière optimale. À cette fin, il utilise le cryptage et l'anonymisation.
o L'utilisateur doit se charger de la sécurisation des systèmes intégrés qui se trouvent dans son environnement ou celui de ses partenaires et fournisseurs (correctifs, certificats, antivirus, etc.).
o La DG Transformation digitale se charge des audit logs des transactions jusqu’au moment de l’envoi. Ceux-ci sont sauvegardés en toute sécurité dans le système AAAS de la DG Transformation digitale pendant 10 ans et peuvent être consultés pour compléter l’audit trail. Il s’agit des données suivantes :
▪ Numéro de Registre national et le numéro BCE de l’utilisateur final émetteur
▪ ID de transaction et heure des recherches dans les sources de données
▪ Numéro d'identification du formulaire
▪ ID de transaction et heure d’envoi du formulaire
Il incombe à l’utilisateur d’enregistrer la réception du formulaire et l’ID de transaction du formulaire et de conserver le formulaire le cas échéant.
1.4. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
La DG Transformation digitale et l’utilisateur s’engagent à respecter le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (« RGPD ») ainsi que toute autre réglementation pertinente en matière de traitement des données.
Les deux parties s’engagent à informer les personnes agissant sous leur autorité des dispositions du RGPD et de ses arrêtés d'exécution, ainsi que de toute prescription pertinente relative à la protection de la vie privée à l’égard du traitement des données à caractère personnel.
La DG Transformation digitale agit, pour cette prestation de services, en qualité de sous-traitant au sens de l’article 4, 8° du RÈGLEMENT (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, c’est-à-dire la personne « qui traite les données à caractère personnel pour le compte du responsable du traitement ».
L’utilisateur agit, dans le cadre de la prestation de services par la DG Transformation digitale, en qualité de responsable du traitement au sens de l’article 4, 7° du RÈGLEMENT (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, c’est-à-dire la personne qui, seule ou avec d’autres, détermine la finalité et les moyens du traitement des données à caractère personnel.
Les données à caractère personnel traitées par la DG Transformation digitale dans le cadre de cette prestation de services sont les données à caractère personnel issues, le cas échéant, de sources authentiques des autorités et/ou les données à caractère personnel complétées, le cas échéant, par le citoyen ou l’entreprise identifié(e).
La DG Transformation digitale soumet les données à caractère personnel uniquement aux traitements suivants conformément aux instructions écrites reprises dans la présente convention :
- La DG Transformation digitale traite temporairement, jusqu’au moment de l’envoi, les données complétées par l’utilisateur final à la demande de l’utilisateur. La DG Transformation digitale récupère
les données des sources authentiques convenues à la demande de l’utilisateur, après authentification de l’utilisateur final.
- L’IAF partiellement complété est sauvegardé temporairement jusqu’à ce que l’utilisateur final décide de l’envoyer ou maximum pendant le délai défini par l’utilisateur. Cette sauvegarde s’effectue de manière cryptée.
- La DG Transformation digitale se charge d’envoyer l’IAF complété à l’utilisateur, à la demande de l’utilisateur final.
La DG Transformation digitale place des cookies en vue de fournir le service comme mentionné au point 1.5.
La DG Transformation digitale ne communique les données à caractère personnel à aucune autre partie que l’utilisateur.
La DG Transformation digitale garantit que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
La DG Transformation digitale prend les mesures techniques et organisationnelles appropriées afin de garantir le niveau de sécurité adapté au risque, tel que décrit dans la présente convention.
La DG Transformation digitale documente toutes les mesures qu’elle prend pour protéger les données et met cette documentation à la disposition des utilisateurs.
La DG Transformation digitale aide l’utilisateur à s’acquitter de son obligation de donner suite aux demandes d’exercice des droits de la personne concernée et à remplir ses obligations en vertu des articles 32 à 36 du Règlement général sur la protection des données.
La DG Transformation digitale supprime toutes les données à caractère personnel au terme de la prestation de services relatifs au traitement, à l’exception des fichiers journaux qui sont conservés à la lumière de la réglementation applicable.
La DG Transformation digitale met à la disposition de l’utilisateur toutes les informations nécessaires pour prouver le respect de ces obligations ainsi que des audits.
Comme mentionné au point 1.3, la DG Transformation digitale veille à ce que les audit logs soient disponibles pour la partie des transactions qui ont lieu via la DG Transformation digitale. En combinant les données détenues par les différentes parties, il doit être possible d’obtenir une reconstruction complète de l’ensemble du flux de données d’une transaction spécifique.
La DG Transformation digitale tient un registre des activités de traitement dont celles qu’elle réalise pour l’utilisateur. Sur simple demande raisonnable, la DG Transformation digitale est tenue de présenter ce registre.
Si la DG Transformation digitale a connaissance d’une violation en rapport avec les données à caractère personnel, elle en informera l’utilisateur dans les meilleurs délais.
Les deux parties disposent d’un délégué à la protection des données et d’une politique et d'un plan de sécurité actuels qui seront révisés annuellement.
1.5. COOKIES
La DG Transformation digitale utilise les cookies nécessaires suivants pour le fonctionnement du service :
Politique d’utilisation des cookies | DG Transformation Digitale (xxxx.xx)
2. Niveaux de service
2.1. DISPONIBILITÉ
2.1.1. Disponibilité du service
La DG Transformation digitale vise une disponibilité de 99,9 % mais ne peut pas donner de garantie à ce propos.
L’indisponibilité planifiée ne sera pas prise en compte dans le calcul du pourcentage de disponibilité.
2.1.2. Indisponibilité planifiée
L’indisponibilité planifiée est notamment :
• L’indisponibilité pendant les heures de travail qui a été annoncée aux utilisateurs au minimum une semaine à l’avance.
• L’indisponibilité en dehors des heures de travail qui a été annoncée aux utilisateurs avant 14h le dernier jour ouvrable.
Planifiée : si connue et communiquée à l'avance, y compris pour les services dont l'IAF dépend. Les clients sont informés en cas d’indisponibilités planifiées.
2.2. SUPPORT
Le Service Desk de la DG Transformation digitale est l’interlocuteur unique pour l’utilisateur pour tous les incidents et requêtes de service.
L’utilisateur est l’interlocuteur unique pour l’utilisateur final pour tous les incidents et questions. Le Service Desk de la DG Transformation digitale est joignable :
• Par téléphone entre 8h30 et 17h les jours ouvrables de l'Administration fédérale
Business NL : 02 740 79 93
Business FR : 02 740 79 94
• Par e-mail, disponible en permanence : xxxxxxxxxxx.xxx@xxxx.xxxx.xx
• Par formulaire web, disponible en permanence via
xxxxx://xxxxxxxxxx.xxxx.xx/xx/Xxxxxxx/xxxxxxxxxx_xx_xxxxxxx
xxxxx://xxxxxxxxxx.xxxx.xx/xx/Xxxxxxx
3. Parties et signature
Le service est proposé à l’utilisateur par le Service public fédéral Stratégie et Appui (« DG Transformation digitale »).
L'utilisation du service est soumise aux conditions générales, à la présente convention d'utilisation, en ce compris le Service Level Agreement, ainsi qu'aux directives techniques et autres de la DG Transformation digitale concernant le service.
En signant la présente convention d'utilisation, l'utilisateur se déclare d'accord avec les conditions générales relatives aux services de la DG Transformation digitale.
Signé le date
Nom utilisateur Représentant utilisateur
Signature
Annexe : Conditions générales des services de la DG Transformation digitale