Avenant n°2
entre Bordeaux Métropole et la commune d’Ambarès-et-Lagrave
Règlement général pour la protection des données (RGPD)
Entre
Bordeaux Métropole représentée par son Président dûment habilité par délibération n° …………………. du ………………..2018, Monsieur Xxxxx Xxxxx, ci-après dénommée "Bordeaux Métropole",
d'une part,
Et
La commune d’Ambarès-et-Lagrave représentée par son Maire, Monsieur Michel Héritié, dûment habilité par délibération n° ……… du …….. 2018, ci-après dénommée "la commune d’Ambarès-et- Lagrave",
d'autre part,
VU le contrat d’engagement signé en date du 15 février 2016 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Michel Héritié, Maire d’Ambarès-et-Lagrave.
VU l’avenant n°1 au contrat d’engagement signé le 23 février 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Michel Héritié, Maire d’Ambarès-et-Lagrave,
VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :
- chaque administration désigne un « délégué à la protection des données » ;
- tous les acteurs intervenant sur un même traitement de données à caractère personnel, qu’ils aient la responsabilité de « responsable de traitement », de « responsable conjoint de traitements » ou de « sous-traitants » au sens du RGPD, organisent contractuellement la répartition des obligations qu’il définit.
Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole, l’application du RGPD implique simultanément les responsabilités :
- de la commune membre du service commun de la Direction Générale du Numérique et des Systèmes d’Information (DGNSI), qui conserve légalement la qualité de « responsable de traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le système d’information de Bordeaux Métropole pour son compte ;
- de Bordeaux Métropole qui, pour chaque traitement de données à caractère personnel mis en œuvre via son système d’information mutualisé, pour le compte de la commune, peut recevoir, selon le cas, la qualité de « responsable de traitement conjoint » ou de « sous- traitant » au sens de ce texte.
Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte
Considérant la volonté des parties, de réviser les niveaux de services en application de l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,
Il est convenu et arrêté ce qui suit dans le présent avenant :
ARTICLE 1 : OBJET
Le présent avenant au contrat d’engagement a pour objet de décrire les engagements respectifs des parties dans le contexte de la mutualisation du système d’information entre Bordeaux Métropole et la Commune, afin de se conformer aux exigences du règlement RGPD.
Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.
Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques »,
« chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les moyens opérationnels et organisationnels mis en place pour optimiser la sécurité du système
d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées. En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.
Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux termes du contrat d’engagement.
ARTICLE 2 : MODIFICATION DES ANNEXES
L’annexe du domaine concerné par ces révisions de niveaux de services est :
Domaines | Objet de l’avenant |
Numérique et systèmes d’information | Règlement général pour la protection des données |
Cette annexe est modifiée et remplace celle établie précédemment.
ARTICLE 3 :
Les autres articles et annexes au contrat d’engagement restent inchangés.
ARTICLE 4 :
Cet avenant entre en vigueur au 1er juillet 2018.
Fait à Bordeaux, le , en deux exemplaires.
Pour la Métropole, Pour la commune,
Le Président, Le Maire,
Xxxxx Xxxxx Michel Héritié
ANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION
AVENANT AU CONTRAT D’ENGAGEMENT
COMMUNE D’AMBARES-ET-LAGRAVE
Propos liminaire à l’ensemble du domaine Numérique et systèmes
d’information
La transition numérique est un mouvement de fond, qui s’accentue fortement. De simple adaptation et incorporation de nouveaux outils, elle devient un mouvement global, qui interroge les entreprises, les collectivités, les citoyens, les modes d’organisation, la culture et les champs d’actions de toutes les structures, transforme progressivement la société dans tous les domaines : économique, social, politique, éducatif, urbain, culturel, administratif…
Relever ces défis nécessite d’être innovant à tous les niveaux, d’anticiper le rythme soutenu d’évolution des technologies, de garantir la sécurité de l’information, de mettre en place des schémas de développement adaptés aux attentes de la population, des entreprises mais aussi aux enjeux majeurs de performance publique dans un contexte de ressources contraintes.
La mutualisation du numérique et des systèmes d’information au sein de service commun témoigne de la volonté, forte et partagée des communes et de la métropole de co-construire et développer ensemble une politique numérique ambitieuse au service et en support des politiques publiques communales et métropolitaines.
La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies
d’échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle doit
également favoriser la construction d’une offre de service commune et apporter des garanties en matière de performance, de disponibilité et de sécurisation des infrastructures, des plateformes et des données, le tout dans un souci de développement durable.
Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune, et de contrats d’engagement objet du présent document.
DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION SOUS-DOMAINES : A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES SYSTEMES D’INFORMATION |
I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’information |
Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.
II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information |
Activités communales mutualisables |
A- Co-construction de la stratégie numérique communale, gouvernance et sécurité |
• Animation de la veille technologique et de l’innovation au service des métiers • Co-construction du Schéma numérique communal pluriannuel (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune : o Des projets propres à la commune ; o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numérique en ligne, télé services, …) o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement numérique du territoire, RH, Finances, …). • Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS Pour l’année 2016, seront utilisés les schémas directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016. |
• Gestion de la cartographie consolidée du système d’information intégré en cohérence avec le schéma d’urbanisation numérique et SI des services communs. • Définition et contrôle de mise en œuvre des méthodes qualité et des normes applicables au domaine numérique et système d’information |
• Elaboration de la politique de sécurité des systèmes d’information • Management de la sécurité de l’information, gestion des risques, audits et conformité • Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant |
B- Réalisation des projets numériques de compétence communale |
Etudes et conseil : • Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la |
valeur attendue • Pré-étude d’avant-projet • Expertise |
Conduite des projets : • Pilotage et management des projets en lien avec les maitrises d’usage • Etudes, conception et spécifications • Passation et exécution des marchés • Réalisation, développements et paramétrage • Qualification, recette, intégration et pré-production • Mise en production et déploiement • Accompagnement au changement et formation • Bilan de projet |
Maintenance applicative : • Maintenance corrective et réglementaire • Maintenance évolutive |
C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1) |
• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail standardisé |
• Gestion du parc de matériel |
• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail |
• Assistance aux utilisateurs (agents, élus et publics identifiés) : o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI o Résolution et clôture du ticket |
• Formation des utilisateurs en matière de poste et environnement numérique de travail (en lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation) |
• Suivi des interventions et tableaux de bord |
D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information (2) |
Audit, conseil et conception des infrastructures • Audit et conseil • Ingénierie • Mise en place, administration des infrastructures informatique et des réseaux |
Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information • Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un prestataire hébergeur • Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…) • Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et des infrastructures • Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des engagements • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité) |
Hébergement, exploitation et maintien en condition opérationnelle des réseaux • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures et équipements (éléments actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des réseaux GFU, |
WIFI privés et publics |
(1) On entend ici par « Poste et environnement numérique de travail / assistance utilisateurs », l’ensemble des moyens mis à la disposition des utilisateurs pour leur permettre notamment de travailler, se connecter, éditer, être informé, communiquer. Sont notamment couverts par ce domaine :
• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,
• Les applications indispensables au fonctionnement du terminal (systèmes d’exploitation, licences matérielles et d’environnements, …),
• Les outils bureautiques et collaboratifs dont mail,
• Les services d’impression et de numérisation : individuels et collectifs,
• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),
• L’accès à internet et les abonnements de données éventuels,
• Les services de sécurisation du poste, de stockage et de sauvegarde,
• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou incidents.
(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser progressivement avec la direction des bâtiments le cas échéant.
III/ Modalités de mise en œuvre |
III-a/ Les responsables en charge des activités du domaine Numérique et Systèmes d’information s’engagent à mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable et transparente entre les communes et le service commun métropolitain, en portant une attention toute particulière à :
- Garantir le maintien du niveau de service actuellement disponible et assurer le respect des engagements pris, qu’il s’agisse de niveau de performance, d’équipement ou de plage horaire d’intervention. Veiller notamment à la disponibilité et la continuité de service des applications métiers, au stockage et à la conservation des données ;
- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;
- Mettre en œuvre des approches globales et des réflexions transverses dans une logique de convergence permettant in fine de dégager des marges de manœuvre source de nouveaux projets et d’amélioration de la qualité de service ;
- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de
plateformes applicatives et technologiques.
D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :
• Mettra en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de
premier niveau, la gestion des incidents et des demandes des utilisateurs ;
• Favorisera la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;
• Définira une offre de service s’appuyant sur de nouveaux standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, ….). Il s’agira également de mettre en place des outils et processus d’intervention qui s’inspireront des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;
• Consolidera les infrastructures dans des salles informatiques sécurisées. La Métropole se réserve la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24, 7 jours/7 ou encore des besoins ponctuels de capacité.
L’ensemble de cette dynamique s’appuyant sur une approche basée sur des points de rencontre
réguliers :
- tant en format « individuel » entre la commune et le service commun, notamment au travers de la mise en place d’un point de contact unique privilégié assuré, pendant la phase transitoire, par l’ancien DSI
- qu’en format coopératif : entre les communes ayant fait le choix de la mutualisation
et le service commun.
III-b/ Les modes de fonctionnement :
Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la commune et le service commun de la Métropole concernant le domaine Numérique et Systèmes d’Information.
Bordeaux Métropole et les communes s’engagent à formaliser des modes de fonctionnement à la mise en place des services communs, les éléments présentés ci-après constituant de premiers éléments explicatifs des modes de fonctionnement envisagés. L’ensemble des modes de fonctionnement qui seront progressivement mis en œuvre s’appuieront sur des référentiels de bonnes pratiques déjà déployés dans plusieurs collectivités impliquées dans la mutualisation. Ainsi le contenu de l’ensemble de ces annexes s’est fortement appuyé sur ces documents de référence tels que ITIL (Information Technology Infrastructure Library), ISO 9001, CMMI (Capability Maturity Model for Integration), COBIT (Control Objectives for Information and Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes pratiques en matière de sécurité des SI).
DOCUMENTS DE REFERENCE
L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique par commune centré sur les services à la population : proximité, éducation, culture, citoyenneté, social,… Ce document intégrera également les projets métropolitains et transverses déployés sur la commune (ex. Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH,…). Ce schéma, élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune et le service commun, constituera le document de référence pour planifier et suivre l’ensemble des projets numériques portés sur la commune.
Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises, l’université, les écoles et les associations.
GOUVERNANCE :
Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent contrat d’engagement, il est proposé de mettre en place la comitologie suivante :
Comité numérique stratégique communal
• Objet : Elabore, valide et porte le schéma numérique pour la commune, sa mise à jour annuelle et assure un point d’avancement à mi- année sur les projets prévus. Assure les arbitrages éventuellement nécessaires en matière de contrat d’engagement.
• Participants :
o Pour la commune : Elu en charge du numérique (ou d’un représentant désigné par le Maire), des élus thématiques, selon les dossiers abordés, du directeur général des services et des directeurs généraux adjoints concernés.
o Pour le service commun : le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition), les directeurs en charge des programmes numériques concernés, le Directeur général en charge du service commun.
• Fréquence : annuel à bi-annuel
Comité de suivi du contrat d’engagement :
• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration éventuelle et
des nouveaux besoins à anticiper : nouveaux projets, nouveaux équipements, …
• Participants :
o Pour la commune : le Directeur Général des Services (ou son représentant), référent pour le
suivi du contrat d’engagement.
o Pour le service commun : un représentant de la Direction d’appui administrative et financière, le Directeur en charge de l’assistance et de l’offre de service, le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).
• Fréquence : trimestriel
Point d’avancement opérationnel :
• Objet : Suivi continu des activités liées au Numérique et aux systèmes d’information pour la commune : partage des travaux en cours, des priorités et points d’attention identifié, suivi de difficultés (incidents) et anticipation d’actions à venir (déménagement). A ces comités s’ajouteront une participation aux comités de directions en cas de présence de points de décision relatifs aux systèmes d’information ;
• Participants :
o Pour la commune : référent pour le suivi du contrat d’engagement.
o Pour le service commun : responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).
• Fréquence : formel toutes les deux semaines.
A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le cadre des projets. D’une manière générale le chef de projet du service commun et le chef de projet métier - maître d’usage managent le projet en conformité avec les bonnes pratiques de la profession. Par exemple, ils préparent au démarrage d’un projet, un "plan projet " qui permet de cadrer les modalités de la collaboration :
• Objectifs du projet ;
• Définition des gains attendus et du ROI (Retour sur Investissement) et des indicateurs de gains qualitatifs ou quantitatifs attendus, retour sur les coûts et charges d'une part, les bénéfices attendus d'autre part ;
• Plan de financement du projet ;
• Principaux intervenants impliqués de part et d'autre, hauteur et nature de l'engagement sur la période du projet pour assurer que les ressources nécessaires seront bien présentes et autoriser le démarrage de l'opération ;
• Modalités de consultation des entreprises ;
• Planning global du projet, principaux jalons, échéances majeures pour chacun des partenaires : fin de conception et confirmation des charges, recette et validation du travail par les utilisateurs avant démarrage, par exemple ;
• Dispositif de gestion du changement, d'accompagnement des utilisateurs dans les évolutions des processus de leur métier.
ROLES ET RESPONSABILITES
Rôles et responsabilités globales sur le domaine | |
Responsable pour le service commun | Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général du service commun. |
Responsable pour la commune | Directeur général des services |
Types de saisines | A- Co-construction de la stratégie numérique communale, gouvernance et sécurité | B- Réalisation des projets numériques de compétence communale | C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs | D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information |
Saisine ordinaire | Commune : Directeur général des services Service commun : Responsable du service commun en charge du contact avec la commune concernée (Direction des systèmes d’information actuel pendant la phase de transition) | Commune : Chef de projet - maîtrise d’usage Service commun : Chef de projet service commun | Commune : utilisateur (élu, agent, citoyen, …) Service commun : Centre d’appel | Commune : Responsable applicatif métier Service commun : Chefs de service de la Direction des infrastructures et de la production |
Saisine en urgence | Commune : Directeur général des services Service commun : Adjoints au directeur général du service commun. | Commune : Chef de projet - maîtrise d’usage Service commun : Directeur des programmes numériques concerné | Commune : Chef de service de l’utilisateur Service commun : Chef de service centre d’appel et pilotage | Commune : Chef de service en charge de l’application Service commun : Directeur des infrastructures et de la production |
Saisine exceptionnelle | Commune : Directeur général des services Service commun : Directeur général du service commun. | Commune : Directeur général des services Service commun : Adjoint au directeur général en charge des programmes numériques | Commune : Directeur en charge de l’utilisateur Service commun : Directeur de l’assistance et de l’offre de service | Commune : Directeur en charge de l’application Service commun : Adjoint au directeur général en charge de la stratégie et des systèmes d’information |
IV/ Les engagements de service |
IV-a/ Engagements de service généraux et priorités
Les principales priorités / dossiers prioritaires en matière de numérique et de systèmes d’Information sont les suivants :
- Garantir la résolution réactive des problèmes (accès réseau et internet) sur les sites prioritaires (hôtel de ville)
- Maintenir l’Intranet en état de fonctionnement jusqu’à la mise en place d’un ou des applicatifs remplissant les mêmes fonctionnalités. La commune s’engage à fournir l’ensemble des documents/informations nécessaires à ce maintien.
- Maintenir la politique de développement de l’accès au numérique dans les écoles
IV-b/ Les indicateurs et valeurs cibles
Des éléments de volumétrie seront à identifier pour disposer d’une référence de volume d’activités transférées. Si le volume de dossiers traités par an augmente en année N, cette variation sera à prendre compte dans l’analyse de l’atteinte des niveaux d’engagement.
La production de ces indicateurs est soumise à l’existence et la mise à disposition des données
permettant leur calcul.
Une étude de faisabilité sera réalisée et partagée avec la commune lors des 1ères revues de contrat d’engagement afin de préciser les modalités et les délais de livraison des différents indicateurs contractualisés des services communs.
Sous-domaines de mutualisation | Engagements de service du domaine Numérique et systèmes d’information | Indicateurs (Définition/Mode de calcul de l’indicateur) | Périodicité de suivi | Source de suivi* | Niveau de service constaté (et volumétrie correspondante) | Conditions de réalisation de l’engagement (pré-requis) |
A. Co- construction de la stratégie numérique communale, Gouvernance et sécurité | Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la commune | Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma numérique communal (sur 3 ans) | Annuelle | Livrable | Existence : Non | |
Engagement 1.2 : Maitriser les risques liés aux systèmes d’information | Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la base de la norme ISO 27001 | Annuelle | Audit | Existence : Non | ||
B. Réalisation des projets numériques de compétence communale | Engagement 2.1 : Réaliser les projets conformément aux priorités partagées et définies au schéma numérique communal | Indicateur 2.1.1 : Charge consacrée aux projets | Mensuelle ou trimestrielle | Outil de gestion de projets | Existence : Non | |
Indicateur 2.1.2 : Taux de réalisation des projets conformément au Schéma numérique communal | Annuelle | Outil gestion de projet | Existence : Non | |||
Engagement 2.2 : Maintenir les applications métiers du système d’information de la commune | Indicateur 2.2.1 : Etendue du parc applicatif maintenu | Annuelle | Outil gestion de projet | Document en cours d'élaboration pour le recensement des applicatifs métiers de l'intranet | Recensement des applicatifs métiers | |
C. Fourniture des postes et environnements numériques de travail / assistance utilisateurs | Engagement 3.1 : Assurer le renouvellement des postes et environnements numérique de travail (PENT) | Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels | Annuelle | Inventaire du parc des PENT | Renouvellement du parc sur 4 ans avec systèmes d'exploitation. |
Engagement 3.2 : Maintenir les horaires d’ouverture du service d’assistance /support de la commune | Indicateur 3.2.1 : Heures d’ouvertures de l’assistance / support sur le niveau 1 | Annuelle | Données d’exploitation du service | Ouverture du service informatique sur l'intégralité des plages d'ouverture des services administratifs | ||
Engagement 3.3 : Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais | Indicateur 3.3.1 : Délai de prise en compte des demandes | Mensuelle ou trimestrielle | Centre d’assistance et de support utilisateurs | Prise en compte immédiate durant les plages d'ouverture du service informatique | ||
Indicateur 3.3.2 : Délai de résolution des incidents par criticité | Délai de résolution fonction du taux de criticité et du service / agent concerné. A définir avec le DGS. | |||||
D. Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information | Engagement 4.1 : Assurer la disponibilité et la continuité de service des applications et services métiers critiques | Indicateur 4.1.1 : Délai d’intervention | Mensuelle ou trimestrielle | Centre d’assistance/ support utilisateurs + direction des infrastructures et de la production | 780 demandes d'intervention en 2015 | |
Indicateur 4.1.2 : Délai de remise en service | Délai de remise en service fonction du taux de criticité et du service / agent concerné. A définir avec le DGS. | |||||
Engagement 4.2 : Assurer le stockage et la conservation des données et des informations de la commune | Indicateur 4.2.1 : Délais de restauration | Annuelle | Direction des infrastructures et de la production | varie selon le support de sauvegarde – entre ½ heure et 1 jour | ||
Indicateur 4.2.2 : Durée maximum d’enregistrement des données qu’il est acceptable de perdre | 1 journée |
*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de satisfaction, certification…). Cf. article 2 du contrat
d’engagement.
V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement » |
Contexte
Le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », entre directement en vigueur au sein de chaque état membre de l’Union Européenne le 25 mai 2018. Il vise à adapter le
droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel. Ce règlement renforce notamment :
- Le marché commun de l’économie numérique, en harmonisant les législations des états
membres.
- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant un
véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de nouveaux droits tels que la portabilité des données, permettant de faire transférer ses données d’une entreprise à l’autre.
- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de
« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de
« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.
Tous, à égalité, sont désormais tenus de respecter les nouvelles exigences de sécurité imposant de prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens, avant la mise en œuvre de chaque nouveau traitement ainsi que les exigences d’inventaire et de documentation de la conformité des traitements.
V-a/ Définitions
En conformité avec les textes applicables il est défini que :
- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :
o directement (nom prénom, photo, e-mail nominatif…)
o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)
- Constituent des « traitements de données à caractère personnel » toutes opérations portant sur de telles données quel que soit le procédé utilisé : collecter, enregistrer, organiser, conserver, modifier, combiner, transmettre…)
- Sont concernés au premier chef les traitements informatisés, mais aussi les fichiers « papier » s’ils constituent des traitements stables, organisés méthodiquement, accessibles selon des critères déterminés (plan de classement, ordre alphabétique ou chronologique, formulaires nominatifs…).
- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui
détermine les finalités et les moyens d’un traitement de données à caractère personnel considéré.
- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les
finalités et les moyens d’un tel traitement.
- A qualité de « sous-traitant », la personne physique ou morale qui traite les données pour le compte du responsable de traitement. Le sous-traitant peut lui-même recourir à des « sous-traitants ultérieurs » dans le respect de conditions contractuellement définies par le responsable de traitement.
- A qualité de « Délégué à la Protection des Données » d’un organisme (DPO), la personne physique désignée par un acte formel du représentant légal de l’organisme, chargée de piloter et de contrôler la conformité interne des traitements à la législation en vigueur.
- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de traitement résumées comme suit :
1. Principe de licéité, de loyauté, de transparence du traitement
2. Principe de finalité déterminée, explicite, légitime de chaque traitement
3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré
4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin
ou leur suppression
5. Principe d’information des personnes dont les données sont traitées
6. Principe de sécurité et de confidentialité des données traitées
7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.
Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale
Informatique et Libertés)
V-b/ RGPD- Principes et responsabilités
Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants, susceptibles d’être conjointement engagées.
En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.
Responsabilités communes aux responsables de traitement et sous-traitants
- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des traitements de données à caractère personnel (principe d’accountability).
Ainsi, par défaut, dès la conception, les traitements de données à caractère personnel doivent être paramétrés pour fournir un niveau de sécurité adapté, en priorisant la protection de la vie privée. De véritables « analyse d’impact sur la vie privée » peuvent être requises, ainsi qu’une saisine de la CNIL, par exemple pour des traitements concernant des usages innovants, des données sensibles ou des traitements à grande échelle (principes de security by default et privacy by design).
- Les autorités publiques, qu’elles soient responsables de traitement ou sous-traitant, doivent désigner un Délégué à la protection des données ou « DPO » qui peut être commun à plusieurs organismes.
Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.
- Chacun, responsable de traitement et sous-traitant, doit tenir un registre des traitements de données à caractère personnel effectués. Celui-ci est à produire à toute demande des administrés ou à tout contrôle de l’autorité nationale de régulation, la CNIL.
Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.
Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…
Le sous-traitant recense pour sa part, les catégories de traitement effectuées pour le compte de chaque « responsable de traitement » ainsi que les principales mesures organisationnelles et techniques liées à leur sécurité.
- De façon concertée, toutes les « failles de sécurité » doivent être identifiées pour permettre une déclaration sous 72 heures à l’autorité de contrôle voire, une notification aux personnes concernées. Elles sont également consignées par chacun dans un registre exhaustif.
Responsabilités propres au « responsable de traitement »
- Chaque responsable de traitement est tenu de mettre en œuvre les mesures organisationnelles et techniques permettant d’assurer la conformité et la sécurité des traitements. Il demeure, tout au long du cycle de vie du traitement, le premier garant du respect des « règles d’or ».
Il veille particulièrement à la bonne information des personnes concernées et à la bonne mise en œuvre de leurs droits (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …).
- En cas de responsables de traitements conjoints, ceux-ci doivent définir de façon transparente leurs obligations respectives par voie d’accord écrit. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun d’eux.
- Le responsable de traitement ne recourt qu’à des sous-traitants aptes à appliquer les mesures organisationnelles et techniques appropriées de manière à ce que le traitement soit conforme au RGPD.
Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au
sous-traitant qui ne doit agir que sur ordre du responsable de traitement.
Responsabilités propres au « sous-traitant »
Celui-ci a l’obligation de s’en tenir aux instructions documentées du responsable de traitement et de prendre toutes les mesures de sécurité requises conformément à l'article 28 et 32 du RGPD. Il s'agit et notamment de garantir des moyens permettant d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, afin de préserver les données de tout accès non autorisé ou de toute perte ou destruction.
Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour
attester de la conformité et pour permettre la réalisation d’audits.
Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du
traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.
Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.
Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.
Il ne recourt à des « sous-traitants ultérieurs » que sur autorisation écrite spécifique ou générale du responsable de traitement. Il le tient informé et reste le garant de la conformité aux instructions, des actions ainsi déléguées.
V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information
Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun
des traitements de données à caractère personnel mis en œuvre pour son compte.
La Métropole qui met le système d’information mutualisé dont elle est propriétaire à disposition des agents des services communs ou des services municipaux utilisant des traitements pour le compte de la commune, endosse selon le cas :
o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,
o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,
o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le
système d’information commun, sans qu’elle en ait défini les finalités et les moyens.
Des tiers, extérieurs à la commune et à Bordeaux Métropole, tels que des fournisseurs, prestataires, délégataires, ou autres, sélectionnés ou désignés dans le respect des règles applicables à leur contrat, peuvent également tenir un rôle de « responsables conjoints », de « sous-traitants » ou de
« sous-traitants ultérieurs » en fonction des cadres contractuels en cause.
Chaque entité, Commune ou Métropole, a l’obligation de désigner un « Délégué à la protection des données » (DPO), chargé de veiller à la conformité des traitements de données à caractère personnel de l’entité qui l’a nommé. Il peut être mutualisé entre la Commune et la Métropole, dès lors qu’il est doté des compétences et des moyens nécessaires au bon exercice de ses missions.
Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et
le Centre communal d’action sociale de cette ville.
Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.
Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des
données à caractère personnel.
D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection des données, tout au long de la mise en œuvre des traitements
Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de
« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant mutualisé son système d’information (à défaut, son interlocuteur est le DGS).
V-d/Les obligations spécifiquement souscrites
Le RGPD impose de définir de façon transparente les responsabilités respectives de chacun entre la Commune, responsable de traitement, et Bordeaux Métropole, qui endosse, selon le cas, le rôle de responsable de traitement conjoint ou de sous-traitant. Dans ce but il est expressément convenu ce qui suit :
Les engagements constituant le « socle commun » à toutes les communes, membres du système
d’information mutualisé
- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)
Afin de permettre la construction d’un système d’information mutualisé unitaire et rationnalisé, il est convenu par les présentes, que la commune donne délégation générale à Bordeaux Métropole pour sélectionner les sous-traitants fournisseurs ou prestataires, qu’il s’agisse de traitements exclusivement communaux ou de traitements partagés entre les communes et Bordeaux-Métropole.
Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les informations relatives aux prestataires concernés et au contenu des engagements souscrits.
Dans l’hypothèse où la commune exprimerait un besoin spécifique différent de la solution mutualisée ainsi offerte, et sous réserve d’un constat de faisabilité technique validé par les deux parties, il appartiendrait à la commune d’en supporter spécifiquement le coût, et de se conformer au processus standard d’acquisition applicable, conformément à l’article 6 des présentes.
- La gestion des demandes des personnes concernées, hors information concernant les violations de données
Le délai de réponse à toute demande d’exercice de ses droits par une personne concernée (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …), est d’un mois à compter de l’entrée en vigueur du RGPD.
Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.
Préalablement à l’envoi de toute réponse, afin de tenir compte des observations de la commune, elle se rapprochera des services communaux concernés par le traitement en cause et recueillera leurs observations.
- L’information des usagers concernant les « violations de données »
Le RGPD définit un délai de 72 heures pour notifier à la CNIL les « violations de donnée » qui sont des violations de sécurité susceptibles de porter atteintes aux droits et libertés des personnes concernées (pertes de contrôle sur les données, discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation…). Cette notification mentionne les mesures prises pour y remédier et en atténuer les conséquences.
Tout retard doit être motivé auprès de la CNIL. En outre, s’il est estimé que la violation engendre un risque élevé pour les personnes concernées, le responsable de traitement leur communique la violation de données sans délai.
Toutes les violations, notifiées, ou non notifiées (en cas de constat de faible risque pour les droits et libertés des personnes) sont consignées dans un registre, assorti de la documentation retraçant l’ensemble des éléments attestant d’une gestion conforme au RGPD (délai de notification, éléments d’analyse, choix des actions correctives, mesures adoptées pour pallier aux conséquences, informations des personnes…)
La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.
Afin de gérer au mieux les incidents de cette nature touchant aux traitements de données à caractère personnel communaux, dont la prise en charge au sein du système d’information mutualisé s’est effectuée dans le respect des processus définis à l’article 6 des présentes, la commune convient de confier l’intégralité des actions nécessaires pour gérer toute violation de données dans le respect du RGPD, y compris, le cas échéant, l’information des usagers, à Bordeaux Métropole, via son RSSI qui agira en collaboration avec le(s) DPO de Bordeaux Métropole et de la commune.
Préalablement à l’envoi de toute réponse, le RSSI et le DPO de Bordeaux Métropole se rapprocheront des services communaux concernés, pour recueillir leurs observations ou consignes et agir en concertation.
- La désignation du DPO
En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à compter du 25 mai 2018.
La commune a souhaité mutualiser cette fonction avec Bordeaux Métropole désigne dans les formes requises et avec son accord le DPO concerné. Elle définit dans la lettre de mission qu’elle lui notifie les modalités lui permettant d’assurer sa mission sur le périmètre de la totalité des traitements communaux.
V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD
L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :
V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein
d’un « projet numérique » commandé via le service commun DGNSI
Conformément aux principes définis au paragraphe B II/ « Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information supra, les commandes de projets numériques se découpent en 3 phases :
- étude et conseil
- conduite de projet
- maintenance applicative
Conformément à la fiche technique intitulée « commande d’un projet numérique », un « diagnostic d’architecture et de sécurité » est réalisé au cours de l’étape « étude et conseil », en amont de la validation du projet et du lancement des procédures d’acquisition s’y rapportant.
Tout traitement de données à caractère personnel identifié au cours de cette phase implique la saisine du DPO par le chef de projet informatique. Ainsi, lorsque le projet est validé, les procédures requises par le RGPD peuvent être mise en œuvre de concert entre le service commun DGNSI et le ou les DPO de la commune et de Bordeaux Métropole, avant la conception technique du projet (« privacy by design »). La preuve de cette analyse est conservée en vue de documenter le registre et la produire en cas de litige, ou à tout contrôle de la CNIL.
V-e/2- Expression d’un besoin incluant un traitement de données à caractère personnel au sein d’un projet non identifié spécifiquement comme un projet numérique géré par la DGNSI, impliquant une procédure contractuelle traitée par un service de la commande publique
Avec l’objectif d’une administration totalement dématérialisée pour 0000 xx xxxxx x x’xxxxxxxxxx 0000-0000 imposant la saisine de l’administration par voie électronique, la part des projets de marchés d’acquisition, de fourniture, de services ou de travaux, ainsi que la part des délégations de service public, qui comprennent un fort volet numérique, ne cesse de croître. Pour autant ces projets ne constituent pas nécessairement, à titre principal, des projets numériques traités par la DGNSI.
Il appartient en conséquence aux agents chargés de la procédure initiale de mise en concurrence, d’identifier la présence de données à caractère personnel au sein des traitements susceptibles d’être mis en œuvre et de saisir la DGNSI ainsi que le DPO en amont de la rédaction des pièces du dossier de mise en concurrence, conformément à une fiche technique intitulée « conformité au RGPD dans les procédures contractuelles comportant un volet numérique ».
V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable du DPO
Les services communaux ou les services communs peuvent envisager :
- des projets d’évolution de traitements de données à caractère personnel existants (nouvelles extractions pour des analyses prospectives, des croisements, des évolutions des fonctionnalités ou de destinataires…).
- la création directe de nouveaux traitements (projets de traitements bureautiques,
utilisation de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).
Ces cas requièrent l’avis préalable du DPO, dès lors qu’ils concernent des données à caractère personnel. Celui-ci orientera, si nécessaire, le demandeur, vers une demande de projet numérique visée au V-e/1.
Conformément à la fiche technique intitulée « saisine directe du DPO », ces projets ne doivent pas être mis en œuvre sans l’avis conforme du DPO de Bordeaux Métropole et de la commune qui l’inscrira (ont) aux registres concernés.
Dans les trois cas présentés ci-dessus (V-e/1, V-e/2, V-e/3) dès lors que la création d'un traitement est validée, les services communs et plus particulièrement la DGNSI ainsi que les directions et services chargés de la commande publique, veilleront à la bonne mise en œuvre des différentes mesures organisationnelles et techniques nécessaires pour garantir un niveau de sécurité des données adapté au risque, conformément au RGPD et à la PGSSI du SI mutualisé.
V-f/Application du droit à l’effacement
Conformément au droit à l'oubli défini par le RGPD, les données ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement
consiste :
V-f/1- soit en l'effacement des données personnelles elles-mêmes
V-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes concernées
V-f/3- soit en l'archivage intermédiaire, pendant les durées nécessaires pour les besoins juridiques (preuve, contentieux). Dans ce cas, l'accès aux données est restreint aux personnes habilitées à cette unique fin, par des mesures techniques et organisationnelles appropriées. A l’issue de cet archivage intermédiaires les données font l’objet des mesures prescrites aux articles V-f/1, V-f/2ou V-f/4
V-f/4--soit en l’archivage définitif des données, décidé par le Responsable de Traitement, dans le respect du Code du patrimoine pour des fins archivistiques dans l'intérêt public, ou des fins de recherche scientifique ou historique ou statistiques.
Concrètement, dès lors qu’un traitement a été mis en œuvre dans le respect de l’article V-e/ des présentes, les options V-f/1, V-f/2 et V-f/3 sont appliquées par les services communs de Bordeaux Métropole compétents, et notamment la DGNSI, selon les procédures internes applicables.
Dans l'hypothèse V-f/1, la commune pour laquelle ce traitement est mis en œuvre sera informée préalablement à la date d'effacement prévue afin d'être en mesure de réitérer son accord pour cette action.
Dans l’hypothèse où la commune envisage un archivage définitif de certaines données, il lui appartient, dans le respect de l’article 89 du RGPD, de définir et de mettre en œuvre les moyens et procédures nécessaires pour conserver les données et garantir le respect des droits et libertés des personnes concernées.
V-g/ Gouvernance
Les instances de gouvernance de la sécurité du système d’information mutualisé, décrites au sein de la PGSSI , qui est jointe au référentiel de documents permettent d’aborder les questions liées à la mise en œuvre du RGPD. Trois instances y sont identifiées (comité stratégique de sécurité, comité de pilotage de la sécurité, comité de suivi des actions récurrentes de sécurité).
La PGSSI précise qu’en cas de difficulté avérée entre les préconisations des services de Bordeaux Métropole et les services de la commune, au sujet d’un traitement de données à caractère personnel relevant de la commune, un arbitrage formalisé pourra être recherché auprès du Directeur Général des Services communaux et du Directeur Général des Services de Bordeaux Métropole. L’avis de l’Inspecteur Général des Service de Bordeaux Métropole pourra être également être recherché. Le cas échéant, la CNIL pourra être interrogée.
V-h/ Auditabilite
Le RGPD prévoit que chaque sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et pour permettre la réalisation d’audits y compris des inspections, par le responsable de traitement.
Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents
(registre des traitements, registre des violations de sécurité, documentation technique…) afférents.
L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.
V-i/Sensibilisation des personnels
Des campagnes de sensibilisation ciblées seront progressivement organisées par Bordeaux Métropole à compter du premier semestre de 2018, au profit de l’ensemble des agents des services communs. Ces sessions seront ouvertes aux agents communaux concernés par le RGPD.
Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes
d’information.
Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de
sensibilisation requis pour la bonne application du RGPD.
V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole
Conformément aux cas de figures décrits à l’art V-e/ supra, au titre du RGPD, il apparaît spécifiquement que la responsabilité du Président de Bordeaux Métropole, dans le cadre de la mutualisation du système d’information, peut ressortir, soit de la qualité de « responsable conjoint des traitements », soit de la qualité de « sous-traitant », vis-à-vis de chacun des traitements communaux s’appuyant sur le système d’information mutualisé.
Le système d’information mutualisé constitue un outil commun, qui doit tendre vers la meilleure qualité de services, et notamment la meilleure sécurité et la meilleure conformité aux règles de droit applicables. Il est tenu de procurer un service de confiance aux élus, agents et usagers.
Ce faisant, les parties conviennent expressément, aux termes des présentes, que tout processus de création ou d’acquisition d’un nouveau traitement de données à caractère personnel devra intervenir dans le respect du référentiel documentaire et notamment des règles et processus standard décrits aux termes de « fiches techniques ou de politiques spécifiques » ou autres documents techniques collectivement applicables aux utilisateurs du système d’information, tels que visés à l’article 6 des présentes et notifiés à la commune par courrier au directeur des services.
Ces règles et processus standard sont notamment destinées à permettre la bonne application du
RGPD et une bonne sécurité du système d’information.
En cas de non-respect par la commune des processus standardisés prédéfinis et notifiés à celle-ci, Bordeaux Métropole dégage expressément toute responsabilité contractuelle et sera susceptible de demander à celle-ci, réparation de tout débours qui résulterait d’une mise en œuvre de traitements non conformes.
V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du
présent avenant
Avant l’entrée en vigueur du présent avenant, ou au plus tard avant le 31 décembre 2018, la commune s’engage à faire réaliser et à fournir à Bordeaux Métropole, un état des lieux exhaustif des traitements communaux de données à caractère personnel antérieurs, ici appelés « traitements communaux antérieurs » transmis lors la mutualisation des services et encore actuellement utilisés pour son compte par des agents communaux ou des agents des services communs. Ce document aura valeur contractuelle.
Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son registre.
Il lui appartient de s’assurer que les traitements communaux antérieurs, clos, sont traités conformément aux dispositions de l’article 8 supra (Application du droit à l'effacement) et de déclarer l’arrêt de ceux-ci auprès du DPO.
Il est expressément convenu que la responsabilité de Bordeaux Métropole ne peut être recherchée à aucun titre que ce soit, concernant l’éventuelle non-conformité au RGPD des traitements communaux antérieurs. La commune dédommagera en conséquence, Bordeaux Métropole, de tout débours ou préjudice qui pourrait résulter d’une non-conformité au RGPD des traitements communaux antérieurs concernés. Un plan d’action relatif aux traitements communaux antérieurs identifiés comme nécessitant une requalification prioritaire sera définie conjointement.
La responsabilité de Bordeaux Métropole est engagée dès lors qu'un traitement communal antérieur aura fait l'objet d'une évolution fonctionnelle demandée par la maîtrise d'usage, traitée par Bordeaux Métropole selon un processus normalisé décrit à l’article 6 des présentes.
Contrat d’engagement entre Bordeaux Métropole et la commune
de Bègles
Règlement général pour la protection des données (RGPD)
Entre
Bordeaux Métropole représentée par son Président, Monsieur Xxxxx Xxxxx, dûment habilité par délibération n°…… du 2018,
D'une part,
Et
La commune de Bègles représentée par son Maire, X. Xxxxxxx Rossignol Puech, dûment habilité par délibération n° ……….. du 2018,
D’autre part,
VU le schéma de mutualisation adopté le 29 mai 2015 ;
VU le contrat d’engagement signé le 15 février 2016 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxxxx Puech, Maire de Bègles,
VU l’avenant n°1 au contrat d’engagement signé le 10 mars 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxx Xxxxxx, Maire de Bègles,
VU l’avenant n°2 au contrat d’engagement signé le 21 décembre 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxxxx Puech, Maire de Bègles
VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :
- chaque administration désigne un « délégué à la protection des données » ;
- tous les acteurs intervenant sur un même traitement de données à caractère personnel, qu’ils aient la responsabilité de « responsable de traitement », de « responsable conjoint de traitements » ou de « sous-traitants » au sens du RGPD, organisent contractuellement la répartition des obligations qu’il définit.
Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole,
l’application du RGPD implique simultanément les responsabilités :
- de la commune membre du service commun de la Direction Générale du Numérique et des Systèmes d’Information (DGNSI), qui conserve légalement la qualité de « responsable de traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le système d’information de Bordeaux Métropole pour son compte ;
- de Bordeaux Métropole qui, pour chaque traitement de données à caractère personnel mis en œuvre via son système d’information mutualisé, pour le compte de la commune, peut recevoir, selon le cas, la qualité de « responsable de traitement conjoint » ou de « sous-traitant » au sens de ce texte.
Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte
Considérant la volonté des parties, de réviser les niveaux de services en application de l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,
Il est convenu et arrêté ce qui suit dans le présent avenant :
ARTICLE 1 : OBJET
Le présent avenant au contrat d’engagement a pour objet de décrire les engagements respectifs des parties dans le contexte de la mutualisation du système d’information entre Bordeaux Métropole et la Commune, afin de se conformer aux exigences du règlement RGPD.
Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.
Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques »,
« chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les moyens opérationnels et organisationnels mis en place pour optimiser la sécurité du système
d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées. En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.
Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux
termes du contrat d’engagement.
ARTICLE 2 : MODIFICATION DES ANNEXES
L’annexe du domaine concerné par ces révisions de niveaux de services est :
Domaines | Objet de l’avenant |
Numérique et systèmes d’information | Règlement général pour la protection des données |
Cette annexe est modifiée et remplace celle établie précédemment.
ARTICLE 3 :
Les autres articles et annexes au contrat d’engagement restent inchangés.
ARTICLE 4 :
Cet avenant entre en vigueur au 1er juillet 2018.
Fait à Bordeaux, le , en deux exemplaires.
Pour la Métropole, Pour la commune,
Le Président, Le Maire,
Xxxxx Xxxxx Xxxxxxx Xxxxxxxxx Puech
ANNEXE
- Numérique et systèmes d’information
Annexe 4 contrat d’engagement : Domaine Numérique-SI
ANNEXE 4 POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION – CONTRAT D’ENGAGEMENT
COMMUNE DE BEGLES
Propos liminaire à l’ensemble du domaine Numérique et Systèmes
d’Information
La transition numérique est un mouvement de fond, qui s’accentue fortement. De simple adaptation et incorporation de nouveaux outils, elle devient un mouvement global, qui interroge les entreprises, les collectivités, les citoyens, les modes d’organisation, la culture et les champs d’actions de toutes les structures, transforme progressivement la société dans tous les domaines : économique, social, politique, éducatif, urbain, culturel, administratif…
Relever ces défis nécessite d’être innovant à tous les niveaux, d’anticiper le rythme soutenu d’évolution des technologies, de garantir la sécurité de l’information, de mettre en place des schémas de développement adaptés aux attentes de la population, des entreprises mais aussi aux enjeux majeurs de performance publique dans un contexte de ressources contraintes.
La mutualisation du numérique et des systèmes d’information au sein de service commun témoigne de la volonté, forte et partagée des communes et de la métropole de co-construire et développer ensemble une politique numérique ambitieuse au service et en support des politiques publiques communales et métropolitaines.
La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies d’échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle doit également favoriser la construction d’une offre de service commune et apporter des garanties en matière de performance, de disponibilité et de sécurisation des infrastructures, des plateformes et des données, le tout dans un souci de développement durable.
Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune et de contrats d’engagement objet du présent document.
Annexe 4 contrat d’engagement : Domaine Numérique-SI
DOMAINE : Numérique et Système d’Information 1. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE 2. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE 3. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS 4. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES SYSTEMES D’INFORMATION |
I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’informations |
Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la Commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.
II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Informations |
Activités mutualisées par la Commune (y compris le CCAS) |
A- Co-construction de la stratégie numérique communale, gouvernance et sécurité |
• Animation de la veille technologique et de l’innovation au service des métiers • Co-construction du Schéma Numérique Communal pluriannuel décliné par direction générale / politique publique (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune : o Des projets propres à la commune ; o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numériques en ligne, télé services, …) o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement numérique du territoire, RH, Finances, …). • Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS Pour l’année 2016, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016. |
B- Réalisation des projets numériques de compétence communale |
Etudes et conseil : • Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue • Pré-étude d’avant-projet • Expertise |
Conduite des projets : • Pilotage et management des projets en lien avec les maitrises d’usage |
Annexe 4 contrat d’engagement : Domaine Numérique-SI
• Etudes, conception et spécifications • Passation et exécution des marchés • Réalisation, développements et paramétrage • Qualification, recette, intégration et pré-production • Mise en production et déploiement • Accompagnement au changement et formation • Bilan de projet |
Maintenance applicative : • Maintenance corrective et réglementaire • Maintenance évolutive |
C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1) |
• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail standardisé |
• Gestion du parc de matériel |
• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail |
• Assistance aux utilisateurs (agents, élus et publics identifiés) : o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI o Résolution et clôture du ticket |
• Formation des utilisateurs en matière de poste et environnement numérique de travail (en lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation) |
• Suivi des interventions et tableaux de bord |
D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information (2) |
Audit, conseil et conception des infrastructures • Audit et conseil • Ingénierie • Mise en place, administration des infrastructures informatique et des réseaux |
Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information • Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un prestataire hébergeur • Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…) • Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et des infrastructures • Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des engagements • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité) |
Hébergement, exploitation et maintien en condition opérationnelle des réseaux • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures et équipements (éléments actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des réseaux GFU, WIFI privés et publics |
(1) On entend ici par « Poste et environnement numérique de travail / assistance utilisateurs », l’ensemble des moyens mis à la disposition des utilisateurs pour leur permettre notamment de travailler, se connecter, éditer, être informé, communiquer. Sont notamment couverts par ce domaine :
Annexe 4 contrat d’engagement : Domaine Numérique-SI
• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,
• Les applications indispensables au fonctionnement du terminal (systèmes d’exploitation, licences matérielles et d’environnements, …),
• Les outils bureautiques et collaboratifs dont mail,
• Les services d’impression et de numérisation : individuels et collectifs (non couvert en cycle 1),
• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),
• L’accès à internet et les abonnements de données éventuels,
• Les services de sécurisation du poste, de stockage et de sauvegarde,
• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou incidents.
(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser progressivement avec la direction des bâtiments
le cas échéant.
Exclusions du périmètre en cycle 1 : Ne sont pas assuré par le service commun les activités :
• De maintenance et d’évolution des applicatifs et services web de la Ville de Bègles (notamment son site internet) qui restent gérés par la Ville de Bègles qui conserve donc l’ensemble des marchés et budgets nécessaires à ces activités ;
• De gestion, d’administration et de maintenance des copieurs multifonction.
Annexe 4 contrat d’engagement : Domaine Numérique-SI
III/ Modalités de mise en œuvre |
III-a/ Les responsables en charge des activités du domaine Numérique et SI s’engagent à mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable et transparente entre les communes et le service commun métropolitain, en portant une attention toute particulière à :
- Garantir le maintien du niveau de service actuellement disponible et assurer le respect des engagements pris, qu’il s’agisse de niveau de performance, d’équipement ou de plage horaire d’intervention. Veiller notamment à la disponibilité et la continuité de service des applications métiers, au stockage et à la conservation des données ;
- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;
- Mettre en œuvre des approches globales et des réflexions transverses dans une logique de convergence permettant in fine de dégager des marges de manœuvre source de nouveaux projets et d’amélioration de la qualité de service ;
- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de plateformes applicatives et technologiques.
D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :
• Mettra en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de
premier niveau, la gestion des incidents et des demandes des utilisateurs ;
• Favorisera la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;
• Définira une offre de service s’appuyant sur de nouveaux standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, ….). Il s’agira également de mettre en place des outils et processus d’intervention qui s’inspireront des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;
• Consolidera les infrastructures dans des salles informatiques sécurisées. La métropole se réserve la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24 7 jours/7 ou encore des besoins ponctuels de capacité.
III-b/ Les modes de fonctionnement :
Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la Commune et le service commun de la Métropole concernant le domaine Numérique et Systèmes d’Informations.
Bordeaux Métropole et les communes s’engagent à formaliser des modes de fonctionnement à la mise en place des services communs, les éléments présentés ci-après constituant de premiers éléments explicatifs des modes de fonctionnement envisagés. L’ensemble des modes de fonctionnement qui seront progressivement mis en œuvre s’appuieront sur des référentiels de bonnes pratiques déjà déployés dans plusieurs collectivités impliquées dans la mutualisation. Ainsi le contenu de l’ensemble de ces annexes s’est fortement appuyé sur ces documents de référence tels que ITIL (Information
Annexe 4 contrat d’engagement : Domaine Numérique-SI
Technology Infrastructure Library), ISO 9001, CMMI (Capability Maturity Model for Integration), COBIT (Control Objectives for Information and Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes pratiques en matière de sécurité des SI).
DOCUMENTS DE REFERENCE
L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique par commune centré sur les services à la population : proximité, éducation, culture, citoyenneté, social, … Ce document intégrera également les projets métropolitains et transverses déployés sur la commune (ex. Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH ,…). Ce schéma, élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune et le service commun, constituera le document de référence pour planifier et suivre l’ensemble des projets numériques portés sur la commune au regard des moyens projets transférés (humains et financiers). Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises, l’université, les écoles et les associations.
GOUVERNANCE :
Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent contrat
d’engagement, il est proposé de mettre en place la comitologie suivante :
Comité numérique stratégique communal
• Objet : Elabore, valide et porte le schéma numérique pour la commune, sa mise à jour annuelle et assure un point d’avancement à mi- année sur les projets prévus. Assure les arbitrages éventuellement nécessaires en matière de contrat d’engagement.
• Participants :
o Pour la commune : Elu en charge du numérique (ou d’un représentant désigné par le Maire), des élus thématiques, selon les dossiers abordés, du Directeur Général des Services et des DGA concernés.
o Pour le service commun : le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition), les directeurs en charge des programmes numériques concernés, le Directeur Général en charge du service commun.
• Fréquence : annuel à bi-annuel
Comité de suivi du contrat d’engagement :
• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration éventuelle et
des nouveaux besoins à anticiper : nouveaux projets, nouveaux équipements, …
• Participants :
o Pour la commune : le Directeur Général des Services (ou son représentant), référent pour le suivi
du contrat d’engagement.
o Pour le service commun : un représentant de la Direction d’appui administrative et financière, le Directeur en charge de l’assistance et de l’offre de service, le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).
• Fréquence : trimestriel
Annexe 4 contrat d’engagement : Domaine Numérique-SI
Point d’avancement opérationnel :
• Objet : Suivi continu des activités liées au Numérique et aux SI pour la commune. La fréquence de ces points est en fonction du sous domaine traité (cf tableau des indicateurs et valeurs cible)
• Participant :
o Pour la commune : le Directeur Général des Services (ou son représentant), référent pour le suivi
du contrat d’engagement.
o Pour le service commun : directeur du sous domaine traité et le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).
A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le
cadre des projets.
ROLES ET RESPONSABILITES
Rôles et responsabilités globales sur le domaine | |
Responsable pour le service commun Métropole | Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général du service commun. |
Responsable pour la Commune | Responsable du suivi du contrat d’engagement représentant le Directeur général des services et sous couvert de l’élu en charge du numérique |
Types de saisine
A- Co-construction de la stratégie numérique communale, gouvernance et sécurité | B- Réalisation des projets numériques de compétence communale | C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs | D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information | |
Saisine ordinaire | Commune : Référent en charge du suivi du contrat d’engagement Métropole : Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) | Commune : Chef de projet - maîtrise d’usage Métropole : Chef de projet service commun | Commune : utilisateur (élu, agent, citoyen, …) Métropole : Centre d’appel | Commune : Responsable applicatif métier Métropole : Chefs de service de la Direction des Infrastructures et de la Production |
Saisine en urgence | Commune : DGA de la commune | Commune : Directeur métier | Commune : Chef de service de l’utilisateur | Commune : Chef de service en charge de l’application |
Annexe 4 contrat d’engagement : Domaine Numérique-SI
Métropole : Adjoints au Directeur Général du service commun. | Métropole : Directeur des programmes numériques concerné | Métropole : Chef de service centre d’appel et pilotage | Métropole : Directeur des Infrastructures et de la Production | |
Saisine exceptionnelle | Commune : DGS Métropole : Directeur Général du service commun. | Commune : Directeur Général des Services Métropole : Adjoint DG en charge des | Commune : Directeur en charge de l’utilisateur Métropole : Directeur | Commune : Directeur en charge de l’application Métropole : Adjoint au |
programmes | de l’assistance et de | DG en charge de la | ||
numériques | l’offre de service | Stratégie et des SI |
Annexe 4 contrat d’engagement : Domaine Numérique-SI
IV/ Les engagements de service |
IV-a/ Engagements de service généraux et priorités
Les engagements de services reposent sur une relation de confiance forte et un fonctionnement en toute transparence avec le service commun.
Les points prioritaires identifiés par la commune en matière de numérique et de SI sont les suivants :
• Garantir la réactivité en matière d’intervention et d’assistance aux utilisateurs communaux ;
• Garantir une assistance aux élus et à la Direction Générale par des interlocuteurs spécifiques (pas d’appel sur un centre d’appel) ;
• Garantir la proximité notamment par la présence effective de l’équivalent d’1 ETP sur site
durant les heures de fonctionnement de la mairie ;
• Poursuivre le développement de nouveaux projets à destination des citoyens et de la performance interne de la collectivité (mise en place de nouveaux services, modernisation des équipements).
Annexe 4 contrat d’engagement : Domaine Numérique-SI
IV-b/ Les indicateurs et valeurs cible
Sous-domaine de mutualisation | Engagements de service du domaine Numérique et systèmes d’informations | Indicateurs (Définition/ Mode de calcul de l’indicateur) | Périodicité de suivi | Source de suivi (ex : SI…)* | Niveau de service constaté (et volumétrie correspondante) | Conditions de réalisation de l’engagement |
A. Co-construction de la stratégie Numérique communale, Gouvernance et Sécurité | Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la commune | Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma Numérique communal (sur 3 ans) | Annuelle | Livrable | Non formalisé, un travail conjoint sera mené pour consolider les projets envisagés pour 2016 avant de travailler à un schéma pluriannuel pour les années suivantes | |
Engagement 1.2 : Maitriser les risques liés aux systèmes d’information | Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la base de la norme ISO 27001 | Annuelle | Audit | Non formalisé, un diagnostic de l’existant sera proposé afin de disposer d’une situation partagée lors du transfert des activités. | ||
B. Réalisation des projets numériques de compétence communale | Engagement 2.1 : Réaliser les projets conformément aux priorités partagées et définies au schéma numérique communal | Indicateur 2.1 : Charge consacrée aux projets | Mensuelle ou trimestrielle | Outil de gestion de projets | 110 j/h consacrés chaque année aux projets | |
Engagement 2.2 : Maintenir les applications métiers du système d’information de la commune | Indicateur 2.2 : Etendue du parc applicatif maintenu | Annuelle | Outil gestion de projet | Inventaire du parc applicatif transféré annexé à la convention | ||
C. Fourniture des postes et environnements numériques de travail / assistance utilisateurs | Engagement 3.1 : Assurer le renouvellement des postes et environnements numérique de travail (PENT) | Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels | Annuelle | Inventaire du parc des PENT | 15% par an pour les postes mairie 20% par an pour les postes des écoles | |
Engagement 3.2 : Maintenir les horaires d’ouverture du service d’assistance /support de la commune | Indicateur 3.2.1 : Heures d’ouvertures de l’assistance / support sur le niveau 1 | Annuelle | Données d’exploitation du service | Assistance sur les horaires d’ouverture de la Mairie : Lundi : 8h30 – 18h30 et du jeudi au Vendredi : 8h30 – 17h00 | ||
Engagement 3.3 : Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais | Indicateur 3.3.1 : Délai de traitement des demandes | Mensuelle ou trimestrielle | Centre d’assistance et de support utilisateurs | Non mesuré actuellement, à calculer sur la base de l’existant, un objectif sera défini conjointement pendant l’année 2016 | ||
Indicateur 3.3.2 : Délai de résolution des incidents par criticité | Non mesuré actuellement, à calculer sur la base de l’existant, un objectif sera défini conjointement pendant l’année 2016 |
Annexe 4 contrat d’engagement : Domaine Numérique-SI
D. Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information | Engagement 4.1 : Assurer la disponibilité et la continuité de service des applications et services métiers critiques | Indicateur 4.1. : Délai de remise en service | Mensuelle ou trimestrielle | Direction des infrastructures et de la production | Non mesuré actuellement, à calculer sur la base de l’existant, un objectif sera défini conjointement pendant l’année 2016 | |
Engagement 4.2 : Assurer le stockage et la conservation des données et des informations de la commune | Indicateur 4.2.1 : Délais de restauration | Annuelle | Direction des infrastructures et de la production | Selon le support de sauvegarde entre ½ heure et 1 jour | ||
Indicateur 4.2.2 : Durée maximum d’enregistrement des données qu’il est acceptable de perdre | Pour les serveurs de fichiers : ½ journée Pour les données applicative : 1 journée |
*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de satisfaction, certification…). Cf article 2 du contrat
d’engagement.
Annexe 4 contrat d’engagement : Domaine Numérique-SI
V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement » |
Contexte
Le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », entre directement en vigueur au sein de chaque état membre de l’Union Européenne le 25 mai 2018. Il vise à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel. Ce règlement renforce notamment :
- Le marché commun de l’économie numérique, en harmonisant les législations des états
membres.
- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant un véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de nouveaux droits tels que la portabilité des données, permettant de faire transférer ses données d’une entreprise à l’autre.
- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de
« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de
« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.
Tous, à égalité, sont désormais tenus de respecter les nouvelles exigences de sécurité imposant de prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens, avant la mise en œuvre de chaque nouveau traitement ainsi que les exigences d’inventaire et de documentation de la conformité des traitements.
V-a/ Définitions
En conformité avec les textes applicables il est défini que :
- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :
o directement (nom prénom, photo, e-mail nominatif…)
o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)
- Constituent des « traitements de données à caractère personnel » toutes opérations portant sur de telles données quel que soit le procédé utilisé : collecter, enregistrer, organiser, conserver, modifier, combiner, transmettre…)
Annexe 4 contrat d’engagement : Domaine Numérique-SI
- Sont concernés au premier chef les traitements informatisés, mais aussi les fichiers « papier » s’ils constituent des traitements stables, organisés méthodiquement, accessibles selon des critères déterminés (plan de classement, ordre alphabétique ou chronologique, formulaires nominatifs…).
- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine
les finalités et les moyens d’un traitement de données à caractère personnel considéré.
- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les
finalités et les moyens d’un tel traitement.
- A qualité de « sous-traitant », la personne physique ou morale qui traite les données pour le compte du responsable de traitement. Le sous-traitant peut lui-même recourir à des « sous-traitants ultérieurs » dans le respect de conditions contractuellement définies par le responsable de traitement.
- A qualité de « Délégué à la Protection des Données » d’un organisme (DPO), la personne physique désignée par un acte formel du représentant légal de l’organisme, chargée de piloter et de contrôler la conformité interne des traitements à la législation en vigueur.
- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de traitement résumées comme suit :
1. Principe de licéité, de loyauté, de transparence du traitement
2. Principe de finalité déterminée, explicite, légitime de chaque traitement
3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré
4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin
ou leur suppression
5. Principe d’information des personnes dont les données sont traitées
6. Principe de sécurité et de confidentialité des données traitées
7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.
Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale
Informatique et Libertés)
V-b/ RGPD- Principes et responsabilités
Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants,
susceptibles d’être conjointement engagées.
En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe
Annexe 4 contrat d’engagement : Domaine Numérique-SI
d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur
réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.
Responsabilités communes aux responsables de traitement et sous-traitants
- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des traitements de données à caractère personnel (principe d’accountability).
Ainsi, par défaut, dès la conception, les traitements de données à caractère personnel doivent être paramétrés pour fournir un niveau de sécurité adapté, en priorisant la protection de la vie privée. De véritables « analyse d’impact sur la vie privée » peuvent être requises, ainsi qu’une saisine de la CNIL, par exemple pour des traitements concernant des usages innovants, des données sensibles ou des traitements à grande échelle (principes de security by default et privacy by design).
- Les autorités publiques, qu’elles soient responsables de traitement ou sous-traitant, doivent désigner un Délégué à la protection des données ou « DPO » qui peut être commun à plusieurs organismes.
Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.
- Chacun, responsable de traitement et sous-traitant, doit tenir un registre des traitements de données à caractère personnel effectués. Celui-ci est à produire à toute demande des administrés ou à tout contrôle de l’autorité nationale de régulation, la CNIL.
Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.
Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données
collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…
Le sous-traitant recense pour sa part, les catégories de traitement effectuées pour le compte de chaque « responsable de traitement » ainsi que les principales mesures organisationnelles et techniques liées à leur sécurité.
- De façon concertée, toutes les « failles de sécurité » doivent être identifiées pour permettre une déclaration sous 72 heures à l’autorité de contrôle voire, une notification aux personnes concernées. Elles sont également consignées par chacun dans un registre exhaustif.
Responsabilités propres au « responsable de traitement »
- Chaque responsable de traitement est tenu de mettre en œuvre les mesures organisationnelles et techniques permettant d’assurer la conformité et la sécurité des traitements. Il demeure, tout au long du cycle de vie du traitement, le premier garant du respect des « règles d’or ».
Il veille particulièrement à la bonne information des personnes concernées et à la bonne mise en œuvre de leurs droits (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …).
Annexe 4 contrat d’engagement : Domaine Numérique-SI
- En cas de responsables de traitements conjoints, ceux-ci doivent définir de façon transparente leurs obligations respectives par voie d’accord écrit. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun d’eux.
- Le responsable de traitement ne recourt qu’à des sous-traitants aptes à appliquer les mesures organisationnelles et techniques appropriées de manière à ce que le traitement soit conforme au RGPD.
Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au
sous-traitant qui ne doit agir que sur ordre du responsable de traitement.
Responsabilités propres au « sous-traitant »
Celui-ci a l’obligation de s’en tenir aux instructions documentées du responsable de traitement et de prendre toutes les mesures de sécurité requises conformément à l'article 28 et 32 du RGPD. Il s'agit et notamment de garantir des moyens permettant d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, afin de préserver les données de tout accès non autorisé ou de toute perte ou destruction.
Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour
attester de la conformité et pour permettre la réalisation d’audits.
Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du
traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.
Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.
Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.
Il ne recourt à des « sous-traitants ultérieurs » que sur autorisation écrite spécifique ou générale du responsable de traitement. Il le tient informé et reste le garant de la conformité aux instructions, des actions ainsi déléguées.
V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information
Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun des traitements de données à caractère personnel mis en œuvre pour son compte.
La Métropole qui met le système d’information mutualisé dont elle est propriétaire à disposition des agents des services communs ou des services municipaux utilisant des traitements pour le compte de la commune, endosse selon le cas :
o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,
o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,
Annexe 4 contrat d’engagement : Domaine Numérique-SI
o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le
système d’information commun, sans qu’elle en ait défini les finalités et les moyens.
Des tiers, extérieurs à la commune et à Bordeaux Métropole, tels que des fournisseurs, prestataires, délégataires, ou autres, sélectionnés ou désignés dans le respect des règles applicables à leur contrat, peuvent également tenir un rôle de « responsables conjoints », de « sous-traitants » ou de « sous- traitants ultérieurs » en fonction des cadres contractuels en cause.
Chaque entité, Commune ou Métropole, a l’obligation de désigner un « Délégué à la protection des données » (DPO), chargé de veiller à la conformité des traitements de données à caractère personnel de l’entité qui l’a nommé. Il peut être mutualisé entre la Commune et la Métropole, dès lors qu’il est doté des compétences et des moyens nécessaires au bon exercice de ses missions.
Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le
Centre communal d’action sociale de cette ville.
Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.
Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des
données à caractère personnel.
D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection des données, tout au long de la mise en œuvre des traitements
Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de
« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant mutualisé son système d’information (à défaut, son interlocuteur est le DGS).
V-d/Les obligations spécifiquement souscrites
Le RGPD impose de définir de façon transparente les responsabilités respectives de chacun entre la Commune, responsable de traitement, et Bordeaux Métropole, qui endosse, selon le cas, le rôle de responsable de traitement conjoint ou de sous-traitant. Dans ce but il est expressément convenu ce qui suit :
Les engagements constituant le « socle commun » à toutes les communes, membres du système
d’information mutualisé
- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)
Afin de permettre la construction d’un système d’information mutualisé unitaire et rationnalisé, il est convenu par les présentes, que la commune donne délégation générale à Bordeaux Métropole pour sélectionner les sous-traitants fournisseurs ou prestataires, qu’il s’agisse de traitements exclusivement communaux ou de traitements partagés entre les communes et Bordeaux-Métropole.
Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les informations relatives aux prestataires concernés et au contenu des engagements souscrits.
Annexe 4 contrat d’engagement : Domaine Numérique-SI
Dans l’hypothèse où la commune exprimerait un besoin spécifique différent de la solution mutualisée ainsi offerte, et sous réserve d’un constat de faisabilité technique validé par les deux parties, il appartiendrait à la commune d’en supporter spécifiquement le coût, et de se conformer au processus standard d’acquisition applicable, conformément à l’article 6 des présentes.
- La gestion des demandes des personnes concernées, hors information concernant les violations de données
Le délai de réponse à toute demande d’exercice de ses droits par une personne concernée (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …), est d’un mois à compter de l’entrée en vigueur du RGPD.
Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.
Préalablement à l’envoi de toute réponse, afin de tenir compte des observations de la commune, elle se rapprochera des services communaux concernés par le traitement en cause et recueillera leurs observations.
- L’information des usagers concernant les « violations de données »
Le RGPD définit un délai de 72 heures pour notifier à la CNIL les « violations de donnée » qui sont des violations de sécurité susceptibles de porter atteintes aux droits et libertés des personnes concernées (pertes de contrôle sur les données, discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation…). Cette notification mentionne les mesures prises pour y remédier et en atténuer les conséquences.
Tout retard doit être motivé auprès de la CNIL. En outre, s’il est estimé que la violation engendre un risque élevé pour les personnes concernées, le responsable de traitement leur communique la violation de données sans délai.
Toutes les violations, notifiées, ou non notifiées (en cas de constat de faible risque pour les droits et libertés des personnes) sont consignées dans un registre, assorti de la documentation retraçant l’ensemble des éléments attestant d’une gestion conforme au RGPD (délai de notification, éléments d’analyse, choix des actions correctives, mesures adoptées pour pallier aux conséquences, informations des personnes…)
La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.
Afin de gérer au mieux les incidents de cette nature touchant aux traitements de données à caractère personnel communaux, dont la prise en charge au sein du système d’information mutualisé s’est effectuée dans le respect des processus définis à l’article 6 des présentes, la commune convient de confier l’intégralité des actions nécessaires pour gérer toute violation de données dans le respect du RGPD, y compris, le cas échéant, l’information des usagers, à Bordeaux Métropole, via son RSSI qui agira en collaboration avec le(s) DPO de Bordeaux Métropole et de la commune.
Annexe 4 contrat d’engagement : Domaine Numérique-SI
Préalablement à l’envoi de toute réponse, le RSSI et le DPO de Bordeaux Métropole se rapprocheront des services communaux concernés, pour recueillir leurs observations ou consignes et agir en concertation.
- La désignation du DPO
En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à compter du 25 mai 2018.
La commune a souhaité mutualiser cette fonction avec Bordeaux Métropole. Elle désigne dans les formes requises et avec son accord le DPO concerné. Elle définit dans la lettre de mission qu’elle lui notifie les modalités lui permettant d’assurer sa mission sur le périmètre de la totalité des traitements communaux.
V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD
L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère
personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :
V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein d’un
« projet numérique » commandé via le service commun DGNSI
Conformément aux principes définis au paragraphe B II/ « Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information supra, les commandes de projets numériques se découpent en 3 phases :
- étude et conseil
- conduite de projet
- maintenance applicative
Conformément à la fiche technique intitulée « commande d’un projet numérique », un « diagnostic d’architecture et de sécurité » est réalisé au cours de l’étape « étude et conseil », en amont de la validation du projet et du lancement des procédures d’acquisition s’y rapportant.
Tout traitement de données à caractère personnel identifié au cours de cette phase implique la saisine du DPO par le chef de projet informatique. Ainsi, lorsque le projet est validé, les procédures requises par le RGPD peuvent être mise en œuvre de concert entre le service commun DGNSI et le ou les DPO de la commune et de Bordeaux Métropole, avant la conception technique du projet (« privacy by design »). La preuve de cette analyse est conservée en vue de documenter le registre et la produire en cas de litige, ou à tout contrôle de la CNIL.
V-e/2- Expression d’un besoin incluant un traitement de données à caractère personnel au sein d’un projet non identifié spécifiquement comme un projet numérique géré par la DGNSI, impliquant une procédure contractuelle traitée par un service de la commande publique
Avec l’objectif d’une administration totalement dématérialisée pour 0000 xx xxxxx x x’xxxxxxxxxx
0000-0000 imposant la saisine de l’administration par voie électronique, la part des projets de marchés
Annexe 4 contrat d’engagement : Domaine Numérique-SI
d’acquisition, de fourniture, de services ou de travaux, ainsi que la part des délégations de service public, qui comprennent un fort volet numérique, ne cesse de croître. Pour autant ces projets ne constituent pas nécessairement, à titre principal, des projets numériques traités par la DGNSI.
Il appartient en conséquence aux agents chargés de la procédure initiale de mise en concurrence, d’identifier la présence de données à caractère personnel au sein des traitements susceptibles d’être mis en œuvre et de saisir la DGNSI ainsi que le DPO en amont de la rédaction des pièces du dossier de mise en concurrence, conformément à une fiche technique intitulée « conformité au RGPD dans les procédures contractuelles comportant un volet numérique ».
V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable du DPO
Les services communaux ou les services communs peuvent envisager :
- des projets d’évolution de traitements de données à caractère personnel existants (nouvelles extractions pour des analyses prospectives, des croisements, des évolutions des fonctionnalités ou de destinataires…).
- la création directe de nouveaux traitements (projets de traitements bureautiques, utilisation
de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).
Ces cas requièrent l’avis préalable du DPO, dès lors qu’ils concernent des données à caractère personnel. Celui-ci orientera, si nécessaire, le demandeur, vers une demande de projet numérique visée au V-e/1.
Conformément à la fiche technique intitulée « saisine directe du DPO », ces projets ne doivent pas être mis en œuvre sans l’avis conforme du DPO de Bordeaux Métropole et de la commune qui l’inscrira (ont) aux registres concernés.
Dans les trois cas présentés ci-dessus (V-e/1, V-e/2, V-e/3) dès lors que la création d'un traitement est validée, les services communs et plus particulièrement la DGNSI ainsi que les directions et services chargés de la commande publique, veilleront à la bonne mise en œuvre des différentes mesures organisationnelles et techniques nécessaires pour garantir un niveau de sécurité des données adapté au risque, conformément au RGPD et à la PGSSI du SI mutualisé.
V-f/Application du droit à l’effacement
Conformément au droit à l'oubli défini par le RGPD, les données ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement
consiste :
V-f/1- soit en l'effacement des données personnelles elles-mêmes
Annexe 4 contrat d’engagement : Domaine Numérique-SI
V-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes concernées
V-f/3- soit en l'archivage intermédiaire, pendant les durées nécessaires pour les besoins juridiques (preuve, contentieux). Dans ce cas, l'accès aux données est restreint aux personnes habilitées à cette unique fin, par des mesures techniques et organisationnelles appropriées. A l’issue de cet archivage intermédiaires les données font l’objet des mesures prescrites aux articles V-f/1, V-f/2ou V-f/4
V-f/4--soit en l’archivage définitif des données, décidé par le Responsable de Traitement, dans le respect du Code du patrimoine pour des fins archivistiques dans l'intérêt public, ou des fins de recherche scientifique ou historique ou statistiques.
Concrètement, dès lors qu’un traitement a été mis en œuvre dans le respect de l’article V-e/ des présentes, les options V-f/1, V-f/2 et V-f/3 sont appliquées par les services communs de Bordeaux Métropole compétents, et notamment la DGNSI, selon les procédures internes applicables.
Dans l'hypothèse V-f/1, la commune pour laquelle ce traitement est mis en œuvre sera informée préalablement à la date d'effacement prévue afin d'être en mesure de réitérer son accord pour cette action.
Dans l’hypothèse où la commune envisage un archivage définitif de certaines données, il lui appartient, dans le respect de l’article 89 du RGPD, de définir et de mettre en œuvre les moyens et procédures nécessaires pour conserver les données et garantir le respect des droits et libertés des personnes concernées.
V-g/ Gouvernance
Les instances de gouvernance de la sécurité du système d’information mutualisé, décrites au sein de la PGSSI , qui est jointe au référentiel de documents permettent d’aborder les questions liées à la mise en œuvre du RGPD. Trois instances y sont identifiées (comité stratégique de sécurité, comité de pilotage de la sécurité, comité de suivi des actions récurrentes de sécurité).
La PGSSI précise qu’en cas de difficulté avérée entre les préconisations des services de Bordeaux Métropole et les services de la commune, au sujet d’un traitement de données à caractère personnel relevant de la commune, un arbitrage formalisé pourra être recherché auprès du Directeur Général des Services communaux et du Directeur Général des Services de Bordeaux Métropole. L’avis de l’Inspecteur Général des Service de Bordeaux Métropole pourra être également être recherché. Le cas échéant, la CNIL pourra être interrogée.
V-h/ Auditabilite
Le RGPD prévoit que chaque sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et pour permettre la réalisation d’audits y compris des inspections, par le responsable de traitement.
Annexe 4 contrat d’engagement : Domaine Numérique-SI
Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents
(registre des traitements, registre des violations de sécurité, documentation technique…) afférents.
L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter
la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.
V-i/Sensibilisation des personnels
Des campagnes de sensibilisation ciblées seront progressivement organisées par Bordeaux Métropole à compter du premier semestre de 2018, au profit de l’ensemble des agents des services communs. Ces sessions seront ouvertes aux agents communaux concernés par le RGPD.
Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes
d’information.
Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de
sensibilisation requis pour la bonne application du RGPD.
V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole
Conformément aux cas de figures décrits à l’art V-e/ supra, au titre du RGPD, il apparaît spécifiquement que la responsabilité du Président de Bordeaux Métropole, dans le cadre de la mutualisation du système d’information, peut ressortir, soit de la qualité de « responsable conjoint des traitements », soit de la qualité de « sous-traitant », vis-à-vis de chacun des traitements communaux s’appuyant sur le système d’information mutualisé.
Le système d’information mutualisé constitue un outil commun, qui doit tendre vers la meilleure qualité de services, et notamment la meilleure sécurité et la meilleure conformité aux règles de droit applicables. Il est tenu de procurer un service de confiance aux élus, agents et usagers.
Ce faisant, les parties conviennent expressément, aux termes des présentes, que tout processus de création ou d’acquisition d’un nouveau traitement de données à caractère personnel devra intervenir dans le respect du référentiel documentaire et notamment des règles et processus standard décrits aux termes de « fiches techniques ou de politiques spécifiques » ou autres documents techniques collectivement applicables aux utilisateurs du système d’information, tels que visés à l’article 6 des présentes et notifiés à la commune par courrier au directeur des services.
Ces règles et processus standard sont notamment destinées à permettre la bonne application du RGPD et une bonne sécurité du système d’information.
En cas de non-respect par la commune des processus standardisés prédéfinis et notifiés à celle-ci, Bordeaux Métropole dégage expressément toute responsabilité contractuelle et sera susceptible de demander à celle-ci, réparation de tout débours qui résulterait d’une mise en œuvre de traitements non conformes.
Annexe 4 contrat d’engagement : Domaine Numérique-SI
V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du
présent avenant
Avant l’entrée en vigueur du présent avenant, ou au plus tard avant le 31 décembre 2018, la commune s’engage à faire réaliser et à fournir à Bordeaux Métropole, un état des lieux exhaustif des traitements communaux de données à caractère personnel antérieurs, ici appelés « traitements communaux antérieurs » transmis lors la mutualisation des services et encore actuellement utilisés pour son compte par des agents communaux ou des agents des services communs. Ce document aura valeur contractuelle.
Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son registre.
Il lui appartient de s’assurer que les traitements communaux antérieurs, clos, sont traités conformément aux dispositions de l’article 8 supra (Application du droit à l'effacement) et de déclarer l’arrêt de ceux-ci auprès du DPO.
Il est expressément convenu que la responsabilité de Bordeaux Métropole ne peut être recherchée à aucun titre que ce soit, concernant l’éventuelle non-conformité au RGPD des traitements communaux antérieurs. La commune dédommagera en conséquence, Bordeaux Métropole, de tout débours ou préjudice qui pourrait résulter d’une non-conformité au RGPD des traitements communaux antérieurs concernés. Un plan d’action relatif aux traitements communaux antérieurs identifiés comme nécessitant une requalification prioritaire sera définie conjointement.
La responsabilité de Bordeaux Métropole est engagée dès lors qu'un traitement communal antérieur aura fait l'objet d'une évolution fonctionnelle demandée par la maîtrise d'usage, traitée par Bordeaux Métropole selon un processus normalisé décrit à l’article 6 des présentes.
Contrat d’engagement entre Bordeaux Métropole et la commune de Blanquefort
Règlement général pour la protection des données (RGPD)
Entre
Bordeaux Métropole représentée par son Président dûment habilité par délibération n° du
…………….2018, Monsieur Xxxxx Xxxxx, ci-après dénommée "Bordeaux Métropole",
d'une part,
Et
La commune de Blanquefort représentée par son Maire, Madame Xxxxxxxxx Xxxxxxxx, dûment habilité par délibération n°……………. du 2018, ci-après dénommée "la commune de Blanquefort",
d'autre part,
VU le contrat d’engagement signé en date du 15 février 2016 par Monsieur Xxxxx Xxxxx, Président de Bordeaux
Métropole et Madame Xxxxxxxxx Xxxxxxxx, Maire de Blanquefort.
VU l’avenant n°1 au contrat d’engagement signé le 8 juin 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et, Madame Xxxxxxxxx Xxxxxxxx, Maire de Blanquefort,
VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la
protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :
- chaque administration désigne un « délégué à la protection des données » ;
- tous les acteurs intervenant sur un même traitement de données à caractère personnel, qu’ils aient la responsabilité de « responsable de traitement », de « responsable conjoint de traitements » ou de « sous-traitants » au sens du RGPD, organisent contractuellement la répartition des obligations qu’il définit.
Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole,
l’application du RGPD implique simultanément les responsabilités :
- de la commune membre du service commun de la Direction Générale du Numérique et des Systèmes d’Information (DGNSI), qui conserve légalement la qualité de « responsable de traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le système d’information de Bordeaux Métropole pour son compte ;
- de Bordeaux Métropole qui, pour chaque traitement de données à caractère personnel mis en œuvre via son système d’information mutualisé, pour le compte de la commune, peut recevoir, selon le cas, la qualité de « responsable de traitement conjoint » ou de « sous- traitant » au sens de ce texte.
Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte
Considérant la volonté des parties, de réviser les niveaux de services en application de
l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,
Il est convenu et arrêté ce qui suit dans le présent avenant :
ARTICLE 1 : OBJET
Le présent avenant au contrat d’engagement a pour objet de décrire les engagements respectifs des parties dans le contexte de la mutualisation du système d’information entre Bordeaux Métropole et la Commune, afin de se conformer aux exigences du règlement RGPD.
Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.
Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques »,
« chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les moyens opérationnels et organisationnels mis en place pour optimiser la sécurité du système d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées. En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.
Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux
termes du contrat d’engagement.
ARTICLE 2 : MODIFICATION DES ANNEXES
L’annexe du domaine concerné par ces révisions de niveaux de services est :
Domaines | Objet de l’avenant |
Numérique et systèmes d’information | Règlement général pour la protection des données |
Cette annexe est modifiée et remplace celle établie précédemment.
ARTICLE 3 :
Les autres articles et annexes au contrat d’engagement restent inchangés.
ARTICLE 4 :
Cet avenant entre en vigueur au 1er juillet 2018.
Fait à Bordeaux, le , en deux exemplaires.
Pour la Métropole, Pour la commune,
Le Président, Le Maire,
Xxxxx Xxxxx Xxxxxxxxx Xxxxxxxx
ANNEXES
- Numérique et système d’information
ANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION – CONTRAT D’ENGAGEMENT
COMMUNE DE BLANQUEFORT
Propos liminaire à l’ensemble du domaine Numérique et Systèmes
d’Information
La transition numérique est un mouvement de fond, qui s’accentue fortement. De simple adaptation et incorporation de nouveaux outils, elle devient un mouvement global, qui interroge les entreprises, les collectivités, les citoyens, les modes d’organisation, la culture et les champs d’actions de toutes les structures, transforme progressivement la société dans tous les domaines : économique, social, politique, éducatif, urbain, culturel, administratif…
Relever ces défis nécessite d’être innovant à tous les niveaux, d’anticiper le rythme soutenu d’évolution des technologies, de garantir la sécurité de l’information, de mettre en place des schémas de développement adaptés aux attentes de la population, des entreprises mais aussi aux enjeux majeurs de performance publique dans un contexte de ressources contraintes.
La mutualisation du numérique et des systèmes d’information au sein de service commun témoigne de la volonté, forte et partagée des communes et de la métropole de co-construire et développer ensemble une politique numérique ambitieuse au service et en support des politiques publiques communales et métropolitaines.
La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies d’échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle doit également favoriser la construction d’une offre de service commune et apporter des garanties en matière de performance, de disponibilité et de sécurisation des infrastructures, des plateformes et des données, le tout dans un souci de développement durable.
Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune et de contrats d’engagement objet du présent document.
DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION SOUS-DOMAINES : A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES SYSTEMES D’INFORMATION |
I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’information |
Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.
II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information |
Activités mutualisées par la Commune (y compris le CCAS) |
A- Co-construction de la stratégie numérique communale, gouvernance et sécurité |
• Animation de la veille technologique et de l’innovation au service des métiers • Co-construction du Schéma Numérique Communal pluriannuel décliné par direction générale / politique publique (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune : o Des projets propres à la commune ; o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numérique en ligne, télé services, …) o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement numérique du territoire, RH, Finances, …). • Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS Pour l’année 2017, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2017. |
• Gestion de la cartographie consolidée du système d’information intégré en cohérence avec le schéma d’urbanisation numérique et SI des services communs. • Définition et contrôle de mise en œuvre des méthodes qualité et des normes applicables au domaine numérique et système d’information |
• Elaboration de la politique de sécurité des systèmes d’information • Management de la sécurité de l’information, gestion des risques, audits et conformité • Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant |
B- Réalisation des projets numériques de compétence communale |
Etudes et conseil : |
• Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue • Pré-étude d’avant-projet • Expertise |
Conduite des projets : • Pilotage et management des projets en lien avec les maitrises d’usage • Etudes, conception et spécifications • Passation et exécution des marchés • Réalisation, développements et paramétrage • Qualification, recette, intégration et pré-production • Mise en production et déploiement • Accompagnement au changement et formation • Bilan de projet |
Maintenance applicative : • Maintenance corrective et réglementaire • Maintenance évolutive |
C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1) |
• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail standardisé |
• Gestion du parc de matériel |
• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail |
• Assistance aux utilisateurs (agents, élus et publics identifiés) : o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI o Résolution et clôture du ticket |
• Formation des utilisateurs en matière de poste et environnement numérique de travail (en lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation) |
• Suivi des interventions et tableaux de bord |
D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information (2) |
Audit, conseil et conception des infrastructures • Audit et conseil • Ingénierie • Mise en place, administration des infrastructures informatique et des réseaux |
Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information • Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un prestataire hébergeur • Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…) • Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et des infrastructures • Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des engagements • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité) |
Hébergement, exploitation et maintien en condition opérationnelle des réseaux • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication |
• Maintien en conditions opérationnelles des infrastructures et équipements (éléments actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des réseaux GFU, WIFI privés et publics |
(1) On entend ici par « Poste et environnement numérique de travail / assistance utilisateurs », l’ensemble des moyens mis à la disposition des utilisateurs pour leur permettre notamment de travailler, se connecter, éditer, être informé, communiquer. Sont notamment couverts par ce domaine :
• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,
• Les applications indispensables au fonctionnement du terminal (systèmes d’exploitation, licences matérielles et d’environnements, …),
• Les outils bureautiques et collaboratifs dont mail,
• Les services d’impression et de numérisation : individuels et collectifs,
• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),
• L’accès à internet et les abonnements de données éventuels,
• Les services de sécurisation du poste, de stockage et de sauvegarde,
• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou incidents.
(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser progressivement avec la direction
des bâtiments le cas échéant.
III/ Modalités de mise en œuvre |
III-a/ Les responsables en charge des activités du domaine Numérique et Systèmes d’information s’engagent à mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable et transparente entre les communes et le service commun métropolitain, en portant une attention toute particulière à :
- Garantir le maintien du niveau de service actuellement disponible et assurer le respect des engagements pris, qu’il s’agisse de niveau de performance, d’équipement ou de plage horaire d’intervention. Veiller notamment à la disponibilité et la continuité de service des applications métiers, au stockage et à la conservation des données ;
- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;
- Mettre en œuvre des approches globales et des réflexions transverses dans une logique de convergence permettant in fine de dégager des marges de manœuvre source de nouveaux projets et d’amélioration de la qualité de service ;
- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de plateformes applicatives et technologiques.
D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :
• Met en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de
premier niveau, la gestion des incidents et des demandes des utilisateurs ;
• Favorise la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuie une offre de service applicative partagée ;
• Définit une offre de service s’appuyant sur des standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, ….). Il s’agit également de mettre en place des outils et processus d’intervention qui s’inspirent des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;
• Consolide les infrastructures dans des salles informatiques sécurisées. La métropole se réserve ainsi la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24 7 jours/7 ou encore des besoins ponctuels de capacité.
L’ensemble de cette dynamique s’appuyant sur une approche basée sur des points de rencontre réguliers :
- tant en format « individuel » entre la commune et le service commun, notamment au travers de la mise en place d’un point de contact unique privilégié assuré, pendant la phase transitoire, par l’ancien DSI
- qu’en format coopératif : entre les communes ayant fait le choix de la mutualisation et le service commun.
III-b/ Les modes de fonctionnement :
Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la commune et le service commun de la Métropole concernant le domaine Numérique et Systèmes d’Information.
Bordeaux Métropole et les communes s’engagent à formaliser des modes de fonctionnement à la mise en place des services communs, les éléments présentés ci-après constituant de premiers éléments explicatifs des modes de fonctionnement envisagés. L’ensemble des modes de fonctionnement qui seront progressivement mis en œuvre s’appuieront sur des référentiels de bonnes pratiques déjà déployés dans plusieurs collectivités impliquées dans la mutualisation. Ainsi le contenu de l’ensemble de ces annexes s’est fortement appuyé sur ces documents de référence tels que ITIL (Information Technology Infrastructure Library), ISO 9001, CMMI (Capability Maturity Model for Integration), COBIT (Control Objectives for Information and Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes pratiques en matière de sécurité des SI).
DOCUMENTS DE REFERENCE
L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique par commune centré sur les services à la population : proximité, éducation, culture, citoyenneté, social, … Ce document intégrera également les projets métropolitains et transverses déployés sur la commune (ex. Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH ,…). Ce schéma, élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune et le service commun, constituera le document de référence pour planifier et suivre l’ensemble des projets numériques portés sur la commune.
Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises, l’université, les écoles et les associations.
GOUVERNANCE :
Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent contrat
d’engagement, il est proposé de mettre en place la comitologie suivante :
Comité numérique communal
• Objet : Arbitre et valide le schéma numériques de commune. Assure son suivi stratégique et son évaluation. Assure les arbitrages éventuellement nécessaires en matière de contrat d’engagement.
• Participants :
o Pour la commune : Sous la présidence du Maire et/ou de l’élu numérique de la commune
entouré(s) de la Dir Générale, des directions concernées
o Pour le service commun : le référent communal (DSI actuel pendant la phase de transition), le Directeur Général en charge du service commun, la Direction de la transformation Numérique, un représentant pour chacun des 3 domaines d’activités de la Direction Générale.
• Fréquence : bi-annuel
Revues des contrats d’engagements :
• Le numérique s’inscrit pleinement dans la dynamique globale de suivi et de pilotage des contrats d’engagement mis en place entre Bordeaux Métropole et la commune pour le suivi de l’ensemble des domaines mutualisés.
Réunion thématique numérique :
• Objet : Assure le suivi opérationnel du contrat et des difficultés quotidiennes éventuelles, permets de porter de premiers arbitrage en lien avec l’offre de service, veille au respect des indicateurs. Le cas échéant propose de pistes d’amélioration. Assure le suivi consolidé des projets concernant la commune.
• Participants :
o Pour la commune : référent pour le suivi du contrat d’engagement.
o Pour le service commun : Référent communal (DSI actuel pendant la phase de transition).
• Fréquence : tous les mois
A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le cadre des projets. D’une manière générale le chef de projet du service commun et le chef de projet maître d’usage managent le projet en conformité avec les bonnes pratiques de la profession. Par exemple, ils préparent au démarrage d’un projet, une note de cadrage qui permet de cadrer les modalités de la collaboration :
• Objectifs du projet ;
• Gains attendus, du retour sur Investissement, et des indicateurs de gains qualitatifs ou quantitatifs attendus, retour sur les coûts et charges d'une part, les bénéfices attendus d'autre part ;
• Plan de financement du projet (et impact notamment sur l’AC en cas de projet de
croissance du périmètre mutualisé) ;
• Principaux intervenants impliqués de part et d'autre, hauteur et nature de l'engagement sur la période du projet pour assurer que les ressources nécessaires seront bien présentes et autoriser le démarrage de l'opération ;
• Planning global du projet, principaux jalons, échéances majeures pour chacun des partenaires : fin de conception et confirmation des charges, recette et validation du travail par les utilisateurs avant démarrage, par exemple ;
• Dispositif de gestion du changement, d'accompagnement des utilisateurs dans les évolutions des processus de leur métier.
ROLES ET RESPONSABILITES
Rôles et responsabilités globales sur le domaine | |
Référent communal | Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général du service commun. |
Responsable pour la commune | Responsable du suivi du contrat d’engagement représentant le Directeur général des services et sous couvert de l’élu en charge du numérique |
Types de saisines | A- Co-construction de la stratégie numérique communale, gouvernance et sécurité | B- Réalisation des projets numériques de compétence communale | C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs | D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information |
Saisine ordinaire | Commune : Référent en charge du suivi du contrat d’engagement Service commun : Référent communal (DSI actuel pendant la phase de transition) | Commune : Chef de projet - maîtrise d’usage Service commun : Chef de projet service commun | Commune : utilisateur (élu, agent, citoyen, …) Service commun : Centre d’appel | Commune : Responsable applicatif métier Service commun : Chefs de service de la Direction des Infrastructures et de la Production |
Saisine en urgence | Commune : Directeur Général Adjoint de la commune Service commun : | Comitologie projets spécifique | Commune : Chef de service de l’utilisateur Service commun : Chef de service | Commune : Chef de service en charge de l’application Service commun : |
Adjoints au Directeur | centre d’appel et | Directeur des | ||
Général du service | pilotage | Infrastructures et de | ||
commun. | la Production | |||
Saisine exceptionnelle | Commune : Directeur Général des Services Service commun : Directeur Général du | Commune : Directeur en charge de l’utilisateur Service commun : | Commune : Directeur en charge de l’application Service commun : | |
service commun. | Directeur de | Adjoint au Directeur | ||
l’assistance et de | Général en charge de | |||
l’offre de service | la Stratégie et des | |||
Systèmes | ||||
d’Information |
IV/ Les engagements de service |
IV-a/ Engagements de service généraux et priorités
Les principales priorités / dossiers prioritaires en matière de numérique et de Systèmes
d’Information sont les suivants :
1- PRA
Nature
Actuellement, le plan de reprise d’activité est insuffisant, même si les sauvegarde journalières sont présente est répliqué sur des NAS, nous sommes dans l’incapacité de faire une reprise d’activité de notre système d’information sans acheter et remonter les VM sur de nouveaux serveurs.
Objet
Consolider le système de sauvegarde actuel, externaliser l’intégralité des sauvegardes sur des serveurs de virtualisation
distant afin de permettre une reprise d’activité en moins de 8H
Enjeux
Enjeux majeur en cas de sinistre ou de panne majeure sur les serveurs de la collectivité.
2- Site Internet
Nature
Le site Internet de la Ville de Blanquefort a été développé en 2009, entièrement en interne par l’équipe de la communication, sur le CMS Joomla 1.5. Le contenu éditorial a évolué avec les pratiques, mais pas le volet technique. Aujourd’hui, ce site est vieillissant, donc peu interactif, et soumis aux attaques car peu sécurisé, en partie du fait de la version obsolète du Joomla. Sa nécessité d’évoluer trouve également sa cohérence dans les 16 000 connexions par mois qu’il engendre. En cohérence avec la politique de e-communication et avec la politique numérique en général sur tout le territoire, la commune souhaite refondre totalement ce service public incontournable.
Objet
La demande de la Ville de Blanquefort concerne la refonte technique du site Internet, sur la base du cahier des charges rédigé et validé par la Ville : mise en place d’un marché, choix du CMS, mise en production. Le tout en collaboration permanente avec la Direction de la communication et de l’administration numérique, en charge du contenu éditorial, et de façon générale, pilote du projet.
Enjeux
L’idée est de mettre à disposition des citoyens un site Internet remplissant ses fonctions premières de service public : démarches pratiques, services en ligne. La Ville souhaite se doter d’un outil à jour avec les normes de sécurité et d’accessibilité. Le site devra être responsive, interactif, et supporter des contenus multimédias variés : l’idée étant de faire de ce support à la fois un outil de service public de proximité, mais aussi un relai d’information sur le territoire.
3- Migration PABX
Nature
Le PABX de type intégral 55 assurant l’acheminement des lignes téléphonique analogique et IP ne sera plus supporté fin 2017. En 2013 nous avons fait l’acquisition avec le CCAS d’un nouveaux PABX ( ip office) et entamé une migration partielle des poste de la collectivité dessus ( 79 postes /165)
Objet
Afin d’anticiper la fin du support de l’intégral 55, il est nécessaire de finaliser la migration déjà engagée vers le nouveau système de téléphonie.
Enjeux
Enjeux fonctionnel important en cas de panne sur l’ancien PABX qui ne sera plus supporté
4- Dématérialisation de la chaine comptable
Cette année, nous mettons en œuvre la dématérialisation des pièces justificatives ainsi que des factures. Le changement
organisationnel étant d’envergure, la dématérialisation des bons de commande ne pourra et devra se faire en 2017. Dans l’optique de l’obligation légale à CHORUS Facture au 1er janvier 2017, un projet de dématérialisation de la chaine comptable a été engagé depuis le passage au PES V2.
Cette année, nous mettons en œuvre la dématérialisation des pièces justificatives ainsi que des factures. Le changement organisationnel étant d’envergure, la dématérialisation des bons de commande ne pourra et devra se faire en 2017.
IV-b/ Les indicateurs et valeurs cibles
Sous-domaines de mutualisation | Engagements de service du domaine Numérique et systèmes d’information | Indicateurs (Définition/Mode de calcul de l’indicateur) | Périodicité de suivi | Source de suivi* | Niveau de service constaté (et volumétrie correspondante) | Conditions de réalisation de l’engagement (pré-requis) |
A. Co- construction de la stratégie Numérique communale, Gouvernance et Sécurité | Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la commune | Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma Numérique communal (sur 3 ans) | Annuelle | Livrable | Non formalisé, un travail conjoint sera mené pour consolider les projets envisagés pour 2017 avant de travailler à un schéma pluriannuel pour les années suivantes. | |
Engagement 1.2 : Maitriser les risques liés aux systèmes d’information | Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la base de la norme ISO 27001 | Annuelle | Audit | Non formalisé, un diagnostic de l'existant sera proposé afin de disposer d'une situation partagée lors du transfert des activités | ||
B. Réalisation des projets numériques de compétence communale | Engagement 2.1 : Réaliser les projets conformément aux priorités partagées et définies au schéma numérique communal | Indicateur 2.1.1 : Charge consacrée aux projets | Mensuelle ou trimestrielle | Outil de gestion de projets | 30 j*h consacrés chaque année aux projets | |
Engagement 2.2 : Maintenir les applications métiers du système d’information de la commune | Indicateur 2.2.1 : Etendue du parc applicatif maintenu | Annuelle | Outil gestion de projet | L’ensemble des progiciels métiers font l’objet d’un contrat de maintenance est sont donc maintenus (cf. inventaire du parc applicatif transféré annexé à la convention) | ||
C. Fourniture des postes et environnements numériques de travail / assistance utilisateurs | Engagement 3.1 : Assurer le renouvellement des postes et environnements numérique de travail (PENT) | Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels | Annuelle | Inventaire du parc des PENT | 20% des postes de travail sont renouvelés chaque année. Renouvellement concernant l’infrastructure ou les progiciels font l’objet de projets spécifiques |
Engagement 3.2 : Maintenir les horaires d’ouverture du service d’assistance /support de la commune | Indicateur 3.2.1 : Heures d’ouvertures de l’assistance / support sur le niveau 1 | Annuelle | Données d’exploitation du service | Assistance du lundi au vendredi de 9h à 12h puis de 13h30 à 17h30 | ||
Engagement 3.3 : Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais | Indicateur 3.3.1 : Délai de prise en compte des demandes | Mensuelle ou trimestrielle | Centre d’assistance et de support utilisateurs | Non mesuré actuellement, à calculer sur la base de l'existant, un objectif sera défini un objectif sera défini conjointement pendant l’année 2017. | ||
Indicateur 3.3.2 : Délai de résolution des incidents par criticité | 4 heures pour les incidents bloquant, jusqu’à 2 jours pour les incidents non bloquant | |||||
D. Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information | Engagement 4.1 : Assurer la disponibilité et la continuité de service des applications et services métiers critiques | Indicateur 4.1.1 : Délai d’intervention | Mensuelle ou trimestrielle | Centre d’assistance/ support utilisateurs + direction des infrastructures et de la production | Cf. délais de résolution des incidents | |
Indicateur 4.1.2 : Délai de remise en service | 1 journée | |||||
Engagement 4.2 : Assurer le stockage et la conservation des données et des informations de la commune | Indicateur 4.2.1 : Délais de restauration | Annuelle | Direction des infrastructures et de la production | ½ journée | ||
Indicateur 4.2.2 : Durée maximum d’enregistrement des données qu’il est acceptable de perdre | 1 journée |
*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de satisfaction, certification…). Cf article 2 du contrat
d’engagement.
La production de ces indicateurs est soumise à l’existence et la mise à disposition des données permettant leur calcul.
Une étude de faisabilité sera réalisée et partagée avec la commune lors des 1ères revues de contrat d’engagement afin de préciser les modalités et les délais
de livraison des différents indicateurs contractualisés des services communs.
V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement » |
Contexte
Le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », entre directement en vigueur au sein de chaque état membre de l’Union Européenne le 25 mai 2018. Il vise à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel. Ce règlement renforce notamment :
- Le marché commun de l’économie numérique, en harmonisant les législations des états
membres.
- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant un véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de nouveaux droits tels que la portabilité des données, permettant de faire transférer ses données d’une entreprise à l’autre.
- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de
« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de
« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.
Tous, à égalité, sont désormais tenus de respecter les nouvelles exigences de sécurité imposant de prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens, avant la mise en œuvre de chaque nouveau traitement ainsi que les exigences d’inventaire et de documentation de la conformité des traitements.
V-a/ Définitions
En conformité avec les textes applicables il est défini que :
- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :
o directement (nom prénom, photo, e-mail nominatif…)
o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)
- Constituent des « traitements de données à caractère personnel » toutes opérations portant sur de telles données quel que soit le procédé utilisé : collecter, enregistrer, organiser, conserver, modifier, combiner, transmettre…)
- Sont concernés au premier chef les traitements informatisés, mais aussi les fichiers « papier » s’ils constituent des traitements stables, organisés méthodiquement, accessibles selon des critères déterminés (plan de classement, ordre alphabétique ou chronologique, formulaires nominatifs…).
- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine
les finalités et les moyens d’un traitement de données à caractère personnel considéré.
- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les
finalités et les moyens d’un tel traitement.
- A qualité de « sous-traitant », la personne physique ou morale qui traite les données pour le compte du responsable de traitement. Le sous-traitant peut lui-même recourir à des « sous-traitants ultérieurs » dans le respect de conditions contractuellement définies par le responsable de traitement.
- A qualité de « Délégué à la Protection des Données » d’un organisme (DPO), la personne physique désignée par un acte formel du représentant légal de l’organisme, chargée de piloter et de contrôler la conformité interne des traitements à la législation en vigueur.
- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de
traitement résumées comme suit :
1. Principe de licéité, de loyauté, de transparence du traitement
2. Principe de finalité déterminée, explicite, légitime de chaque traitement
3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré
4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin
ou leur suppression
5. Principe d’information des personnes dont les données sont traitées
6. Principe de sécurité et de confidentialité des données traitées
7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.
Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale Informatique et Libertés)
V-b/ RGPD- Principes et responsabilités
Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants,
susceptibles d’être conjointement engagées.
En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe
d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur
réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.
Responsabilités communes aux responsables de traitement et sous-traitants
- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des
traitements de données à caractère personnel (principe d’accountability).
Ainsi, par défaut, dès la conception, les traitements de données à caractère personnel doivent être paramétrés pour fournir un niveau de sécurité adapté, en priorisant la protection de la vie privée. De véritables « analyse d’impact sur la vie privée » peuvent être requises, ainsi qu’une saisine de la CNIL, par exemple pour des traitements concernant des usages innovants, des données sensibles ou des traitements à grande échelle (principes de security by default et privacy by design).
- Les autorités publiques, qu’elles soient responsables de traitement ou sous-traitant, doivent désigner un Délégué à la protection des données ou « DPO » qui peut être commun à plusieurs organismes.
Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.
- Chacun, responsable de traitement et sous-traitant, doit tenir un registre des traitements de données à caractère personnel effectués. Celui-ci est à produire à toute demande des administrés ou à tout contrôle de l’autorité nationale de régulation, la CNIL.
Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.
Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…
Le sous-traitant recense pour sa part, les catégories de traitement effectuées pour le compte de chaque « responsable de traitement » ainsi que les principales mesures organisationnelles et techniques liées à leur sécurité.
- De façon concertée, toutes les « failles de sécurité » doivent être identifiées pour permettre une déclaration sous 72 heures à l’autorité de contrôle voire, une notification aux personnes concernées. Elles sont également consignées par chacun dans un registre exhaustif.
Responsabilités propres au « responsable de traitement »
- Chaque responsable de traitement est tenu de mettre en œuvre les mesures organisationnelles et techniques permettant d’assurer la conformité et la sécurité des traitements. Il demeure, tout au long du cycle de vie du traitement, le premier garant du respect des « règles d’or ».
Il veille particulièrement à la bonne information des personnes concernées et à la bonne mise en œuvre de leurs droits (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …).
- En cas de responsables de traitements conjoints, ceux-ci doivent définir de façon transparente leurs obligations respectives par voie d’accord écrit. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun d’eux.
- Le responsable de traitement ne recourt qu’à des sous-traitants aptes à appliquer les mesures organisationnelles et techniques appropriées de manière à ce que le traitement soit conforme au RGPD.
Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au
sous-traitant qui ne doit agir que sur ordre du responsable de traitement.
Responsabilités propres au « sous-traitant »
Celui-ci a l’obligation de s’en tenir aux instructions documentées du responsable de traitement et de prendre toutes les mesures de sécurité requises conformément à l'article 28 et 32 du RGPD. Il s'agit et notamment de garantir des moyens permettant d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, afin de préserver les données de tout accès non autorisé ou de toute perte ou destruction.
Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour
attester de la conformité et pour permettre la réalisation d’audits.
Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.
Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.
Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.
Il ne recourt à des « sous-traitants ultérieurs » que sur autorisation écrite spécifique ou générale du responsable de traitement. Il le tient informé et reste le garant de la conformité aux instructions, des actions ainsi déléguées.
V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information
Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun des traitements de données à caractère personnel mis en œuvre pour son compte.
La Métropole qui met le système d’information mutualisé dont elle est propriétaire à disposition des agents des services communs ou des services municipaux utilisant des traitements pour le compte de la commune, endosse selon le cas :
o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,
o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,
o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le
système d’information commun, sans qu’elle en ait défini les finalités et les moyens.
Des tiers, extérieurs à la commune et à Bordeaux Métropole, tels que des fournisseurs, prestataires, délégataires, ou autres, sélectionnés ou désignés dans le respect des règles applicables à leur contrat, peuvent également tenir un rôle de « responsables conjoints », de « sous-traitants » ou de « sous- traitants ultérieurs » en fonction des cadres contractuels en cause.
Chaque entité, Commune ou Métropole, a l’obligation de désigner un « Délégué à la protection des données » (DPO), chargé de veiller à la conformité des traitements de données à caractère personnel de l’entité qui l’a nommé. Il peut être mutualisé entre la Commune et la Métropole, dès lors qu’il est doté des compétences et des moyens nécessaires au bon exercice de ses missions.
Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le
Centre communal d’action sociale de cette ville.
Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.
Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des données à caractère personnel.
D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection
des données, tout au long de la mise en œuvre des traitements
Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de
« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant
mutualisé son système d’information (à défaut, son interlocuteur est le DGS).
V-d/Les obligations spécifiquement souscrites
Le RGPD impose de définir de façon transparente les responsabilités respectives de chacun entre la Commune, responsable de traitement, et Bordeaux Métropole, qui endosse, selon le cas, le rôle de responsable de traitement conjoint ou de sous-traitant. Dans ce but il est expressément convenu ce qui suit :
Les engagements constituant le « socle commun » à toutes les communes, membres du système
d’information mutualisé
- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)
Afin de permettre la construction d’un système d’information mutualisé unitaire et rationnalisé, il est convenu par les présentes, que la commune donne délégation générale à Bordeaux Métropole pour sélectionner les sous-traitants fournisseurs ou prestataires, qu’il s’agisse de traitements exclusivement communaux ou de traitements partagés entre les communes et Bordeaux-Métropole.
Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les
informations relatives aux prestataires concernés et au contenu des engagements souscrits.
Dans l’hypothèse où la commune exprimerait un besoin spécifique différent de la solution mutualisée ainsi offerte, et sous réserve d’un constat de faisabilité technique validé par les deux parties, il appartiendrait à la commune d’en supporter spécifiquement le coût, et de se conformer au processus standard d’acquisition applicable, conformément à l’article 6 des présentes.
- La gestion des demandes des personnes concernées, hors information concernant les violations de données
Le délai de réponse à toute demande d’exercice de ses droits par une personne concernée (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …), est d’un mois à compter de l’entrée en vigueur du RGPD.
Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.
Préalablement à l’envoi de toute réponse, afin de tenir compte des observations de la commune, elle se rapprochera des services communaux concernés par le traitement en cause et recueillera leurs observations.
- L’information des usagers concernant les « violations de données »
Le RGPD définit un délai de 72 heures pour notifier à la CNIL les « violations de donnée » qui sont des violations de sécurité susceptibles de porter atteintes aux droits et libertés des personnes concernées (pertes de contrôle sur les données, discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation…). Cette notification mentionne les mesures prises pour y remédier et en atténuer les conséquences.
Tout retard doit être motivé auprès de la CNIL. En outre, s’il est estimé que la violation engendre un risque élevé pour les personnes concernées, le responsable de traitement leur communique la violation de données sans délai.
Toutes les violations, notifiées, ou non notifiées (en cas de constat de faible risque pour les droits et libertés des personnes) sont consignées dans un registre, assorti de la documentation retraçant l’ensemble des éléments attestant d’une gestion conforme au RGPD (délai de notification, éléments d’analyse, choix des actions correctives, mesures adoptées pour pallier aux conséquences, informations des personnes…)
La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.
Afin de gérer au mieux les incidents de cette nature touchant aux traitements de données à caractère personnel communaux, dont la prise en charge au sein du système d’information mutualisé s’est effectuée dans le respect des processus définis à l’article 6 des présentes, la commune convient de confier l’intégralité des actions nécessaires pour gérer toute violation de données dans le respect du RGPD, y compris, le cas échéant, l’information des usagers, à Bordeaux Métropole, via son RSSI qui agira en collaboration avec le(s) DPO de Bordeaux Métropole et de la commune.
Préalablement à l’envoi de toute réponse, le RSSI et le DPO de Bordeaux Métropole se rapprocheront des services communaux concernés, pour recueillir leurs observations ou consignes et agir en concertation.
- La désignation du DPO
En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à compter du 25 mai 2018.
La commune a souhaité mutualiser cette fonction avec Bordeaux Métropole. Elle désigne dans les formes requises et avec son accord le DPO concerné. Elle définit dans la lettre de mission qu’elle lui notifie les modalités lui permettant d’assurer sa mission sur le périmètre de la totalité des traitements communaux.
V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD
L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère
personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :
V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein d’un
« projet numérique » commandé via le service commun DGNSI
Conformément aux principes définis au paragraphe B II/ « Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information supra, les commandes de projets numériques se découpent en 3 phases :
- étude et conseil
- conduite de projet
- maintenance applicative
Conformément à la fiche technique intitulée « commande d’un projet numérique », un « diagnostic d’architecture et de sécurité » est réalisé au cours de l’étape « étude et conseil », en amont de la validation du projet et du lancement des procédures d’acquisition s’y rapportant.
Tout traitement de données à caractère personnel identifié au cours de cette phase implique la saisine du DPO par le chef de projet informatique. Ainsi, lorsque le projet est validé, les procédures requises par le RGPD peuvent être mise en œuvre de concert entre le service commun DGNSI et le ou les DPO de la commune et de Bordeaux Métropole, avant la conception technique du projet (« privacy by design »). La preuve de cette analyse est conservée en vue de documenter le registre et la produire en cas de litige, ou à tout contrôle de la CNIL.
V-e/2- Expression d’un besoin incluant un traitement de données à caractère personnel au sein d’un projet non identifié spécifiquement comme un projet numérique géré par la DGNSI, impliquant une procédure contractuelle traitée par un service de la commande publique
Avec l’objectif d’une administration totalement dématérialisée pour 0000 xx xxxxx x x’xxxxxxxxxx
0000-0000 imposant la saisine de l’administration par voie électronique, la part des projets de marchés
d’acquisition, de fourniture, de services ou de travaux, ainsi que la part des délégations de service public, qui comprennent un fort volet numérique, ne cesse de croître. Pour autant ces projets ne constituent pas nécessairement, à titre principal, des projets numériques traités par la DGNSI.
Il appartient en conséquence aux agents chargés de la procédure initiale de mise en concurrence, d’identifier la présence de données à caractère personnel au sein des traitements susceptibles d’être mis en œuvre et de saisir la DGNSI ainsi que le DPO en amont de la rédaction des pièces du dossier de mise en concurrence, conformément à une fiche technique intitulée « conformité au RGPD dans les procédures contractuelles comportant un volet numérique ».
V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable du DPO
Les services communaux ou les services communs peuvent envisager :
- des projets d’évolution de traitements de données à caractère personnel existants (nouvelles extractions pour des analyses prospectives, des croisements, des évolutions des fonctionnalités ou de destinataires…).
- la création directe de nouveaux traitements (projets de traitements bureautiques, utilisation de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).
Ces cas requièrent l’avis préalable du DPO, dès lors qu’ils concernent des données à caractère personnel. Celui-ci orientera, si nécessaire, le demandeur, vers une demande de projet numérique visée au V-e/1.
Conformément à la fiche technique intitulée « saisine directe du DPO », ces projets ne doivent pas être mis en œuvre sans l’avis conforme du DPO de Bordeaux Métropole et de la commune qui l’inscrira (ont) aux registres concernés.
Dans les trois cas présentés ci-dessus (V-e/1, V-e/2, V-e/3) dès lors que la création d'un traitement est validée, les services communs et plus particulièrement la DGNSI ainsi que les directions et services chargés de la commande publique, veilleront à la bonne mise en œuvre des différentes mesures organisationnelles et techniques nécessaires pour garantir un niveau de sécurité des données adapté au risque, conformément au RGPD et à la PGSSI du SI mutualisé.
V-f/Application du droit à l’effacement
Conformément au droit à l'oubli défini par le RGPD, les données ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement
consiste :
V-f/1- soit en l'effacement des données personnelles elles-mêmes
V-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes concernées
V-f/3- soit en l'archivage intermédiaire, pendant les durées nécessaires pour les besoins juridiques (preuve, contentieux). Dans ce cas, l'accès aux données est restreint aux personnes habilitées à cette unique fin, par des mesures techniques et organisationnelles appropriées. A l’issue de cet archivage intermédiaires les données font l’objet des mesures prescrites aux articles V-f/1, V-f/2ou V-f/4
V-f/4--soit en l’archivage définitif des données, décidé par le Responsable de Traitement, dans le respect du Code du patrimoine pour des fins archivistiques dans l'intérêt public, ou des fins de recherche scientifique ou historique ou statistiques.
Concrètement, dès lors qu’un traitement a été mis en œuvre dans le respect de l’article V-e/ des présentes, les options V-f/1, V-f/2 et V-f/3 sont appliquées par les services communs de Bordeaux Métropole compétents, et notamment la DGNSI, selon les procédures internes applicables.
Dans l'hypothèse V-f/1, la commune pour laquelle ce traitement est mis en œuvre sera informée préalablement à la date d'effacement prévue afin d'être en mesure de réitérer son accord pour cette action.
Dans l’hypothèse où la commune envisage un archivage définitif de certaines données, il lui appartient, dans le respect de l’article 89 du RGPD, de définir et de mettre en œuvre les moyens et procédures nécessaires pour conserver les données et garantir le respect des droits et libertés des personnes concernées.
V-g/ Gouvernance
Les instances de gouvernance de la sécurité du système d’information mutualisé, décrites au sein de la PGSSI , qui est jointe au référentiel de documents d’aborder les questions liées à la mise en œuvre du RGPD. Trois instances y sont identifiées (comité stratégique de sécurité, comité de pilotage de la sécurité, comité de suivi des actions récurrentes de sécurité).
La PGSSI précise qu’en cas de difficulté avérée entre les préconisations des services de Bordeaux Métropole et les services de la commune, au sujet d’un traitement de données à caractère personnel relevant de la commune, un arbitrage formalisé pourra être recherché auprès du Directeur Général des Services communaux et du Directeur Général des Services de Bordeaux Métropole. L’avis de l’Inspecteur Général des Service de Bordeaux Métropole pourra être également être recherché. Le cas échéant, la CNIL pourra être interrogée.
V-h/ Auditabilite
Le RGPD prévoit que chaque sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et pour permettre la réalisation d’audits y compris des inspections, par le responsable de traitement.
Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents (registre des traitements, registre des violations de sécurité, documentation technique…) afférents.
L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter
la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.
V-i/Sensibilisation des personnels
Des campagnes de sensibilisation ciblées seront progressivement organisées par Bordeaux Métropole à compter du premier semestre de 2018, au profit de l’ensemble des agents des services communs. Ces sessions seront ouvertes aux agents communaux concernés par le RGPD.
Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes d’information.
Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de sensibilisation requis pour la bonne application du RGPD.
V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole
Conformément aux cas de figures décrits à l’art V-e/ supra, au titre du RGPD, il apparaît spécifiquement que la responsabilité du Président de Bordeaux Métropole, dans le cadre de la mutualisation du système d’information, peut ressortir, soit de la qualité de « responsable conjoint des traitements », soit de la qualité de « sous-traitant », vis-à-vis de chacun des traitements communaux s’appuyant sur le système d’information mutualisé.
Le système d’information mutualisé constitue un outil commun, qui doit tendre vers la meilleure qualité de services, et notamment la meilleure sécurité et la meilleure conformité aux règles de droit applicables. Il est tenu de procurer un service de confiance aux élus, agents et usagers.
Ce faisant, les parties conviennent expressément, aux termes des présentes, que tout processus de création ou d’acquisition d’un nouveau traitement de données à caractère personnel devra intervenir dans le respect du référentiel documentaire et notamment des règles et processus standard décrits aux termes de « fiches techniques ou de politiques spécifiques » ou autres documents techniques collectivement applicables aux utilisateurs du système d’information, tels que visés à l’article 6 des présentes et notifiés à la commune par courrier au directeur des services.
Ces règles et processus standard sont notamment destinées à permettre la bonne application du RGPD
et une bonne sécurité du système d’information.
En cas de non-respect par la commune des processus standardisés prédéfinis et notifiés à celle-ci, Bordeaux Métropole dégage expressément toute responsabilité contractuelle et sera susceptible de demander à celle-ci, réparation de tout débours qui résulterait d’une mise en œuvre de traitements non conformes.
V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du
présent avenant
Avant l’entrée en vigueur du présent avenant, ou au plus tard avant le 31 décembre 2018, la commune s’engage à faire réaliser et à fournir à Bordeaux Métropole, un état des lieux exhaustif des traitements communaux de données à caractère personnel antérieurs, ici appelés « traitements communaux antérieurs » transmis lors la mutualisation des services et encore actuellement utilisés pour son compte par des agents communaux ou des agents des services communs. Ce document aura valeur contractuelle.
Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son registre.
Il lui appartient de s’assurer que les traitements communaux antérieurs, clos, sont traités conformément aux dispositions de l’article 8 supra (Application du droit à l'effacement) et de déclarer l’arrêt de ceux-ci auprès du DPO.
Il est expressément convenu que la responsabilité de Bordeaux Métropole ne peut être recherchée à aucun titre que ce soit, concernant l’éventuelle non-conformité au RGPD des traitements communaux antérieurs. La commune dédommagera en conséquence, Bordeaux Métropole, de tout débours ou préjudice qui pourrait résulter d’une non-conformité au RGPD des traitements communaux antérieurs concernés. Un plan d’action relatif aux traitements communaux antérieurs identifiés comme nécessitant une requalification prioritaire sera définie conjointement.
La responsabilité de Bordeaux Métropole est engagée dès lors qu'un traitement communal antérieur aura fait l'objet d'une évolution fonctionnelle demandée par la maîtrise d'usage, traitée par Bordeaux Métropole selon un processus normalisé décrit à l’article 6 des présentes.
Contrat d’engagement
entre Bordeaux Métropole et la commune de Bordeaux
Règlement général de protection des données (RGPD)
Entre
Bordeaux Métropole représentée par son Président, Monsieur Xxxxx Xxxxx, dûment habilité par délibération, n° ………… du 2018,
d'une part,
Et
La commune de Bordeaux représentée par son Maire-adjoint, Monsieur Xxxxxxx Xxxxxxx, dûment habilité par délibération n°………….. du 2018,
VU le contrat d’engagement signé en date du 15 février 2016 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxx, Maire-adjoint de Bordeaux.
VU l’avenant n°1 au contrat d’engagement signé en date du 23 avril 2018 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxx, Maire-adjoint de Bordeaux.
VU l’avenant n°2 au contrat d’engagement signé en date du 23 avril 2018 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxx, Maire-adjoint de Bordeaux.
VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :
- chaque administration désigne un « délégué à la protection des données » ;
- tous les acteurs intervenant sur un même traitement de données à caractère
personnel, qu’ils aient la responsabilité de « responsable de traitement », de
« responsable conjoint de traitements » ou de « sous-traitants » au sens du RGPD, organisent contractuellement la répartition des obligations qu’il définit.
Considérant que dans le contexte de la mutualisation des services de Bordeaux
Métropole, l’application du RGPD implique simultanément les responsabilités :
- de la commune membre du service commun de la Direction Générale du Numérique
et des Systèmes d’Information (DGNSI), qui conserve légalement la qualité de
« responsable de traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le système d’information de Bordeaux Métropole pour son compte ;
- de Bordeaux Métropole qui, pour chaque traitement de données à caractère personnel mis en œuvre via son système d’information mutualisé, pour le compte de la commune, peut recevoir, selon le cas, la qualité de « responsable de traitement conjoint » ou de
« sous-traitant » au sens de ce texte.
Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte.
Considérant la volonté des parties, de réviser les niveaux de services en application de
l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,
Il est convenu et arrêté ce qui suit dans le présent avenant :
ARTICLE 1 : OBJET
Le présent avenant au contrat d’engagement a pour objet de décrire les engagements respectifs des parties dans le contexte de la mutualisation du système d’information entre Bordeaux Métropole et la Commune, afin de se conformer aux exigences du règlement RGPD.
Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.
Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques »,
« chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les moyens opérationnels et organisationnels mis en place pour optimiser la sécurité du système d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées. En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.
Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux
termes du contrat d’engagement.
ARTICLE 2 : MODIFICATION DES ANNEXES
L’annexe du domaine concerné par ces révisions de niveaux de services est :
Domaines | Objet de la révision de niveaux de services |
Numérique et systèmes d’information | Règlement général pour la protection des données |
Cette annexe est modifiée et remplace celle établie précédemment.
ARTICLE 3 :
Les autres articles et annexes au contrat d’engagement et ses avenants restent inchangés.
ARTICLE 4 :
Cet avenant entre en vigueur au 9 juillet 2018.
Fait à Bordeaux, le , en trois exemplaires.
Pour Bordeaux Métropole, Le Président,
Xxxxx Xxxxx
Pour la commune de Bordeaux, Le Maire-adjoint,
Xxxxxxx Xxxxxxx
ANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION – CONTRAT D’ENGAGEMENT
COMMUNE DE BORDEAUX
Propos liminaire à l’ensemble du domaine Numérique et Systèmes d’Information
La transition numérique est un mouvement de fond, qui s’accentue fortement. De simple adaptation et incorporation de nouveaux outils, elle devient un mouvement global, qui interroge les entreprises, les collectivités, les citoyens, les modes d’organisation, la culture et les champs d’actions de toutes les structures, transforme progressivement la société dans tous les domaines : économique, social, politique, éducatif, urbain, culturel, administratif…
Relever ces défis nécessite d’être innovant à tous les niveaux, d’anticiper le rythme soutenu d’évolution des technologies, de garantir la sécurité de l’information, de mettre en place des schémas de développement adaptés aux attentes de la population, des entreprises mais aussi aux enjeux majeurs de performance publique dans un contexte de ressources contraintes.
La mutualisation du numérique et des systèmes d’information au sein de service commun témoigne de la volonté, forte et partagée des communes et de la métropole de co-construire et développer ensemble une politique numérique ambitieuse au service et en support des politiques publiques communales et métropolitaines.
La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies d’échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle doit également favoriser la construction d’une offre de service commune et apporter des garanties en matière de performance, de disponibilité et de sécurisation des infrastructures, des plateformes et des données, le tout dans un souci de développement durable.
Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune et de contrats d’engagement objet du présent document.
DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES SYSTEMES D’INFORMATION |
I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’informations |
Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la Commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.
II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Informations |
Activités mutualisées par la Commune et le Centre Communal d’Action Sociale (CCAS) |
A- Co-construction de la stratégie numérique communale, gouvernance et sécurité |
• Animation de la veille technologique et de l’innovation au service des métiers • Co-construction du Schéma Numérique Communal pluriannuel décliné par direction générale / politique publique (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune : o Des projets propres à la commune ; o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numériques en ligne, télé services, …) o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement numérique du territoire, RH, Finances, …). • Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS Pour l’année 2016, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016. |
• Animation du rayonnement et des événements numériques majeurs (ex : Semaine Digitale) |
• Gestion de la cartographie consolidée du système d’information intégré en cohérence avec le schéma d’urbanisation numérique et SI des services communs. • Définition et contrôle de mise en œuvre des méthodes qualité et des normes applicables au domaine numérique et système d’information |
• Elaboration de la politique de sécurité des systèmes d’information |
• Management de la sécurité de l’information, gestion des risques, audits et conformité • Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant |
B- Réalisation des projets numériques de compétence communale |
Etudes et conseil : • Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue • Pré-étude d’avant-projet • Expertise |
Conduite des projets : • Pilotage et management des projets en lien avec les maitrises d’usage • Etudes, conception et spécifications • Passation et exécution des marchés • Réalisation, développements et paramétrage • Qualification, recette, intégration et pré-production • Mise en production et déploiement • Accompagnement au changement et formation • Bilan de projet |
Maintenance applicative : • Maintenance corrective et réglementaire • Maintenance évolutive |
C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1) |
• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail standardisé |
• Gestion du parc de matériel |
• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail |
• Assistance aux utilisateurs (agents, élus et publics identifiés) : o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI o Résolution et clôture du ticket |
• Formation des utilisateurs en matière de poste et environnement numérique de travail (en lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation) |
• Suivi des interventions et tableaux de bord |
D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information (2) |
Audit, conseil et conception des infrastructures • Audit et conseil • Ingénierie • Mise en place, administration des infrastructures informatique et des réseaux |
Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information • Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un prestataire hébergeur • Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…) |
• Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et des infrastructures • Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des engagements • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité) |
Hébergement, exploitation et maintien en condition opérationnelle des réseaux • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures et équipements (éléments actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des réseaux GFU, WIFI privés et publics |
(1) On entend ici par « Poste et environnement numérique de travail / assistance utilisateurs », l’ensemble des moyens mis à la disposition des utilisateurs pour leur permettre notamment de travailler, se connecter, éditer, être informé, communiquer. Sont notamment couverts par ce domaine :
• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,
• Les applications indispensables au fonctionnement du terminal (systèmes
d’exploitation, licences matérielles et d’environnements, …),
• Les outils bureautiques et collaboratifs dont mail,
• Les services d’impression et de numérisation : individuels et collectifs,
• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),
• L’accès à internet et les abonnements de données éventuels,
• Les services de sécurisation du poste, de stockage et de sauvegarde,
• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou
incidents.
(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser
progressivement avec la direction des bâtiments le cas échéant.
III/ Modalités de mise en œuvre |
III-a/ Les responsables en charge des activités du domaine Numérique et SI s’engagent à mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable et transparente entre les communes et le service commun métropolitain, en portant une attention toute particulière à :
- Garantir le maintien du niveau de service actuellement disponible et assurer le respect des engagements pris, qu’il s’agisse de niveau de performance, d’équipement ou de plage horaire d’intervention. Veiller notamment à la disponibilité et la continuité de service des applications métiers, au stockage et à la conservation des données ;
- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;
- Mettre en œuvre des approches globales et des réflexions transverses dans une logique de convergence permettant in fine de dégager des marges de manœuvre source de nouveaux projets et d’amélioration de la qualité de service ;
- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de
plateformes applicatives et technologiques.
D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :
• Mettra en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de premier niveau, la gestion des incidents et des demandes des utilisateurs ;
• Favorisera la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;
• Définira une offre de service s’appuyant sur de nouveaux standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, …). Il s’agira également de mettre en place des outils et processus d’intervention qui s’inspireront des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;
• Consolidera les infrastructures dans des salles informatiques sécurisées. La métropole se réserve la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24 7 jours/7 ou encore des besoins ponctuels de capacité.
III-b/ Les modes de fonctionnement :
Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la Commune et le service commun de la Métropole concernant le domaine Numérique et Systèmes d’Informations.
Bordeaux Métropole et les communes s’engagent à formaliser des modes de fonctionnement à la mise en place des services communs, les éléments présentés ci-après constituant de premiers éléments explicatifs des modes de fonctionnement envisagés. L’ensemble des modes de fonctionnement qui seront progressivement mis en œuvre s’appuieront sur des référentiels de bonnes pratiques déjà déployés dans plusieurs collectivités impliquées dans la mutualisation. Ainsi le contenu de l’ensemble de ces annexes s’est fortement appuyé sur ces documents de référence tels que ITIL (Information Technology Infrastructure Library), ISO 9001, CMMI (Capability Maturity Model for Integration), COBIT (Control Objectives for Information and Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes pratiques en matière de sécurité des SI).
DOCUMENTS DE REFERENCE
L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique communal décliné par direction générale / politique publique et centré sur les services à la population : proximité, éducation, culture, citoyenneté, social, … Ce document intégrera également les projets métropolitains et transverses déployés sur la commune (ex. Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH ,…). Ce schéma,
élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune et le service commun, constituera le document de référence pour planifier et suivre l’ensemble des projets numériques portés sur la commune au regard des moyens projets transférés (humains et financiers).
Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises, l’université, les écoles et les associations.
GOUVERNANCE :
Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent
contrat d’engagement, il est proposé de mettre en place la comitologie suivante :
Comité numérique stratégique par thématique / politique publique
• Objet : Elabore, valide et porte le schéma numérique par thématique / politique publique, sa mise à jour annuelle et assure un point d’avancement à mi- année sur les projets prévus.
• Participants :
o Pour la commune : Elu en charge du numérique (ou d’un représentant désigné par le Maire), des élus thématiques, selon les dossiers abordés, du Directeur Général des Services et des DGA concernés.
o Pour le service commun : le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition), les directeurs en charge des programmes numériques concernés, le Directeur Général en charge du service commun.
• Fréquence : annuel à bi-annuel
Comité de suivi du contrat d’engagement :
• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration éventuelle et des nouveaux besoins à anticiper : nouveaux projets, nouveaux équipements, …
• Participants :
o Pour la commune : le Directeur Général des Services (ou son représentant),
référent pour le suivi du contrat d’engagement.
o Pour le service commun : un représentant de la Direction d’appui administrative et financière, le Directeur en charge de l’assistance et de l’offre de service, le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).
• Fréquence : trimestriel
Point d’avancement opérationnel : Suivi continu des activités liées au Numérique et aux SI pour la commune conformément au rythme actuel.
A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le cadre des projets.
ROLES ET RESPONSABILITES
Rôles et responsabilités globales sur le domaine | |
Responsable pour le service commun | Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général du service commun. |
Responsable pour la commune | Responsable du suivi du contrat d’engagement représentant le Directeur général des services et sous couvert de l’élu en charge du numérique |
Types de saisines | A- Co- construction de la stratégie numérique communale, gouvernance et sécurité | B- Réalisation des projets numériques de compétence communale | C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs | D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information |
Saisine ordinaire | Commune : Référent en charge du suivi du contrat d’engagement Service commun : Responsable du service commun en charge du contact avec la commune concernée (Direction des Systèmes d’information actuelle pendant la phase de transition) | Commune : Chef de projet - maîtrise d’usage Service commun : Chef de projet service commun | Commune : utilisateur (élu, agent, citoyen, …) Service commun : Centre d’appel | Commune : Responsable applicatif métier Service commun : Chefs de service de la Direction des Infrastructures et de la Production |
Saisine en urgence | Commune : Direction générale adjointe de la commune Service commun : adjoints au | Commune : Directeur métier Service commun : Directeur des programmes | Commune : Chef de service de l’utilisateur Service commun: Chef de service centre | Commune : Chef de service en charge de l’application Service commun : Directeur des |
Directeur général du service commun. | numériques concerné | d’appel et pilotage | Infrastructures et de la Production | |
Saisine exceptionnelle | Commune : Directeur général des services Service commun : | Commune : Directeur général des services Service commun : | Commune : Directeur en charge de l’utilisateur Service | Commune : Directeur en charge de l’application Service |
Directeur général | Adjoint au | commun : | commun : | |
du service | directeur général | Directeur de | Adjoint au | |
commun. | en charge des | l’assistance et de | directeur général | |
programmes | l’offre de service | en charge de la | ||
numériques | stratégie et des | |||
systèmes | ||||
d’information |
IV/ Les engagements de service |
IV-a/ Les engagements de service généraux et priorités
Les principales priorités / dossiers prioritaires en matière de numérique et de SI sont les suivants :
La Ville de Bordeaux aborde depuis plusieurs années le développement du numérique à travers son agenda ‘Bordeaux Cité Digitale’ décliné en plusieurs axes qui ont en commun l’amélioration du cadre de vie de ses habitants, l’interaction avec une population de plus en plus connectée, nomade et multi-écrans, la transmission des savoirs, le lien social, l’attractivité du territoire pour ses entreprises, mais aussi la performance organisationnelle et économique de la municipalité. Il s’agira de poursuivre cette dynamique :
- au niveau e-éducation en poursuivant un ambitieux programme d’équipement d’outils numériques dans les écoles et d’accompagnement aux nouveaux usages pédagogiques et éducatifs qui s’en dégagent (apprentissage des langues, du code,
…),
- en matière de solidarité numérique en créant du lien entre les différentes entités de la ville déjà acteurs sur ce sujet mais également en développant des partenariats avec des associations afin de répondre aux enjeux du territoire
- sur les e-services en renforçant son action de développement de services utiles, accessibles et de qualité pour ses citoyens de plus en plus connectés et mobiles. En poursuivant le développement et l’intégration de nouveaux services sur xxxxxxxx.xx et en développant des services de sollicitations citoyennes (Marketing direct),
- sur la e-culture avec le démarrage opérationnel de la CCV, du nouveau site des archives, l’élaboration du schéma numérique du conservatoire, le développement de l’offre sur le web des musées de la ville et notamment la refonte du site du CAPC, l’accompagnement au projet ‘boites pédagogiques du CAPC’, le portail des bibliothèques et des médiathèques, l’équipement d’un laboratoire de langue à la
bibliothèque Mériadeck mais également les projets d’évolutions des solutions en
place et notamment du SIGB, de la gestion des collections
- Sur la performance des services : le renouvellement du système d’information ‘enfance et petite enfance’, l’unification des outils de recouvrement des droits de voirie et des droits de place, la dématérialisation et l’archivage électronique, le contrôle d’accès et l’évolution de la billetterie des équipements sportifs, le développement du SIG et des tableaux de bords, des outils de géolocalisation, la gestion des résidents, le renouvellement du logiciel de recensement des jeunes, l’annuaire des associations et l’évolution de la plateforme de l’engagement
- Sur les infrastructures enfin, en mettant à disposition des services performants, sécurisés, innovants, efficaces énergétiquement accompagnés de politiques de gestions optimisées visant la maîtrise des coûts.
- Sur la e-culture avec la déclinaison opérationnelle de la labellisation Bibliothèque numérique de référence et le développement des fonds multimédia dans les bibliothèques de quartier, l'évolution du portail des bibliothèques, le développement de l’offre multimédia dans les musées de la ville et de leurs sites Internet, l'élaboration du projet numérique du Muséum, l'enrichissement et le développement du site Internet des Archives, l'élaboration du projet de Conservatoire numérique, le développement des propositions multimédia à Bordeaux Patrimoine Mondial, la mise en place du volet numérique de la Cité du vin et les projets d’évolutions des solutions en place et notamment du SIGB, de la gestion des collections
IV-b/ Les indicateurs et valeurs cibles
Des éléments de volumétrie seront à identifier pour disposer d’une référence de volume d’activités transférées. Si le volume de dossiers traités par an augmente en année N, cette variation sera à prendre compte dans l’analyse de l’atteinte des niveaux d’engagement.
Sous-domaines de mutualisation | Engagements de service du domaine Numérique et systèmes d’informations | Indicateurs (Définition/ Mode de calcul de l’indicateur) | Périodicité de suivi | Source de suivi (ex : SI…)* | Niveau de service constaté (et volumétrie correspondante) | Conditions de réalisation de l’engagement |
A. Co- construction de la stratégie Numérique communale, Gouvernance et Sécurité | Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la commune | Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma Numérique communal (sur 3 ans) | Annuelle | Livrable | Existence : Oui : agenda Digital 2014- 2017 Fréquence de mise à jour : annuelle | |
Engagement 1.2 : Maitriser les risques liés aux systèmes d’information | Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la base de la norme ISO 27001 | Annuelle | Audit | Existence : Oui – audit réalisé en mars 2014 Niveau constaté (/5) : conformité 3, continuité 1, incidentiel 1, organisation/RH 2,5, Accès1,5 | ||
B. Réalisation des projets numériques de compétence communale | Engagement 2.1 : Réaliser les projets conformément aux priorités partagées et définies au schéma numérique communal | Indicateur 2.1. : Charge consacrée aux projets | Mensuelle ou trimestrielle | Outil de gestion de projets | 2470j/h consacrés chaque année aux projets | |
Engagement 2.2 : Maintenir les applications métiers du | Indicateur 2.2. : Etendue du parc applicatif maintenu | Annuelle | Outil gestion de projet | Inventaire du parc applicatif transféré annexé à la convention |
système d’information de la commune | ||||||
C. Fourniture des postes et environnements numériques de travail / assistance utilisateurs | Engagement 3.1 : Assurer le renouvellement des postes et environnements numérique de travail (PENT) | Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels | Annuelle | Inventaire du parc des PENT | Renouvellement tous les 5 ans (+ ou – 2 ans selon les équipements et les usages) | |
Engagement 3.2 : Maintenir les horaires d’ouverture du service d’assistance /support de la commune | Indicateur 3.2.1 : Heures d’ouvertures de l’assistance / support sur le niveau 1 | Annuelle | Données d’exploitation du service | 8h30 – 18h du lundi au vendredi | ||
Engagement 3.3 : Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais | Indicateur 3.3.1 : Délai de prise en compte des demandes | Mensuelle ou trimestrielle | Centre d’assistance et de support utilisateurs | Les nouvelles demandes sont prises en compte et traitées dans un délai maximum de deux semaines. | ||
Indicateur 3.3.2 : Délai de résolution des incidents par criticité | 75% des incidents sont résolus lors du premier appel au centre de contact | |||||
D. Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des | Engagement 4.1 : Assurer la disponibilité et la continuité de service des applications et | Indicateur 4.1.1 : Délai d’intervention | Mensuelle ou trimestrielle | Direction des infrastructures et de la production | Selon la complexité : entre ½ journée et 1 jour |
systèmes d’information | services métiers critiques | |||||
Engagement 4.2 : Assurer le stockage et la conservation des données et des informations de la commune | Indicateur 4.2.1 : Délais de restauration | Annuelle | Direction des infrastructures et de la production | Varie selon le support de sauvegarde – entre ½ heure et 1 jour après prise en compte du délai d’intervention | ||
Indicateur 4.2.2 : Durée maximum d’enregistrement des données qu’il est acceptable de perdre | Une journée |
*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de
satisfaction, certification…). Cf article 2 du contrat d’engagement.
V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement » |
Contexte
Le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », entre directement en vigueur au sein de chaque état membre de l’Union Européenne le 25 mai 2018. Il vise à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel. Ce règlement renforce notamment :
- Le marché commun de l’économie numérique, en harmonisant les législations des états
membres.
- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant un véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de nouveaux droits tels que la portabilité des données, permettant de faire transférer ses données d’une entreprise à l’autre.
- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de
« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de
« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.
Tous, à égalité, sont désormais tenus de respecter les nouvelles exigences de sécurité imposant de prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens, avant la mise en œuvre de chaque nouveau traitement ainsi que les exigences d’inventaire et de documentation de la conformité des traitements.
V-a/ Définitions
En conformité avec les textes applicables il est défini que :
- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :
o directement (nom prénom, photo, e-mail nominatif…)
o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)
- Constituent des « traitements de données à caractère personnel » toutes opérations portant sur de telles données quel que soit le procédé utilisé : collecter, enregistrer, organiser, conserver, modifier, combiner, transmettre…)
- Sont concernés au premier chef les traitements informatisés, mais aussi les fichiers « papier » s’ils constituent des traitements stables, organisés méthodiquement, accessibles selon des critères déterminés (plan de classement, ordre alphabétique ou chronologique, formulaires nominatifs…).
- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine
les finalités et les moyens d’un traitement de données à caractère personnel considéré.
- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les
finalités et les moyens d’un tel traitement.
- A qualité de « sous-traitant », la personne physique ou morale qui traite les données pour le compte du responsable de traitement. Le sous-traitant peut lui-même recourir à des « sous-traitants ultérieurs » dans le respect de conditions contractuellement définies par le responsable de traitement.
- A qualité de « Délégué à la Protection des Données » d’un organisme (DPO), la personne physique désignée par un acte formel du représentant légal de l’organisme, chargée de piloter et de contrôler la conformité interne des traitements à la législation en vigueur.
- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de
traitement résumées comme suit :
1. Principe de licéité, de loyauté, de transparence du traitement
2. Principe de finalité déterminée, explicite, légitime de chaque traitement
3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré
4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin ou leur suppression
5. Principe d’information des personnes dont les données sont traitées
6. Principe de sécurité et de confidentialité des données traitées
7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.
Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale Informatique et Libertés)
V-b/ RGPD- Principes et responsabilités
Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants,
susceptibles d’être conjointement engagées.
En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe
d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur
réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.
Responsabilités communes aux responsables de traitement et sous-traitants
- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des
traitements de données à caractère personnel (principe d’accountability).
Ainsi, par défaut, dès la conception, les traitements de données à caractère personnel doivent être paramétrés pour fournir un niveau de sécurité adapté, en priorisant la protection de la vie privée. De véritables « analyse d’impact sur la vie privée » peuvent être requises, ainsi qu’une saisine de la CNIL, par exemple pour des traitements concernant des usages innovants, des données sensibles ou des traitements à grande échelle (principes de security by default et privacy by design).
- Les autorités publiques, qu’elles soient responsables de traitement ou sous-traitant, doivent désigner un Délégué à la protection des données ou « DPO » qui peut être commun à plusieurs organismes.
Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.
Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.
- Chacun, responsable de traitement et sous-traitant, doit tenir un registre des traitements de données à caractère personnel effectués. Celui-ci est à produire à toute demande des administrés ou à tout contrôle de l’autorité nationale de régulation, la CNIL.
Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.
Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…
Le sous-traitant recense pour sa part, les catégories de traitement effectuées pour le compte de chaque « responsable de traitement » ainsi que les principales mesures organisationnelles et techniques liées à leur sécurité.
- De façon concertée, toutes les « failles de sécurité » doivent être identifiées pour permettre une déclaration sous 72 heures à l’autorité de contrôle voire, une notification aux personnes concernées. Elles sont également consignées par chacun dans un registre exhaustif.
Responsabilités propres au « responsable de traitement »
- Chaque responsable de traitement est tenu de mettre en œuvre les mesures organisationnelles et techniques permettant d’assurer la conformité et la sécurité des traitements. Il demeure, tout au long du cycle de vie du traitement, le premier garant du respect des « règles d’or ».
Il veille particulièrement à la bonne information des personnes concernées et à la bonne mise en œuvre de leurs droits (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …).
- En cas de responsables de traitements conjoints, ceux-ci doivent définir de façon transparente leurs obligations respectives par voie d’accord écrit. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun d’eux.
- Le responsable de traitement ne recourt qu’à des sous-traitants aptes à appliquer les mesures organisationnelles et techniques appropriées de manière à ce que le traitement soit conforme au RGPD.
Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au
sous-traitant qui ne doit agir que sur ordre du responsable de traitement.
Responsabilités propres au « sous-traitant »
Celui-ci a l’obligation de s’en tenir aux instructions documentées du responsable de traitement et de prendre toutes les mesures de sécurité requises conformément à l'article 28 et 32 du RGPD. Il s'agit et notamment de garantir des moyens permettant d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, afin de préserver les données de tout accès non autorisé ou de toute perte ou destruction.
Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour
attester de la conformité et pour permettre la réalisation d’audits.
Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.
Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.
Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.
Il ne recourt à des « sous-traitants ultérieurs » que sur autorisation écrite spécifique ou générale du responsable de traitement. Il le tient informé et reste le garant de la conformité aux instructions, des actions ainsi déléguées.
V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information
Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun des traitements de données à caractère personnel mis en œuvre pour son compte.
La Métropole qui met le système d’information mutualisé dont elle est propriétaire à disposition des agents des services communs ou des services municipaux utilisant des traitements pour le compte de la commune, endosse selon le cas :
o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,
o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,
o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le
système d’information commun, sans qu’elle en ait défini les finalités et les moyens.
Des tiers, extérieurs à la commune et à Bordeaux Métropole, tels que des fournisseurs, prestataires, délégataires, ou autres, sélectionnés ou désignés dans le respect des règles applicables à leur contrat, peuvent également tenir un rôle de « responsables conjoints », de « sous-traitants » ou de « sous- traitants ultérieurs » en fonction des cadres contractuels en cause.
Chaque entité, Commune ou Métropole, a l’obligation de désigner un « Délégué à la protection des données » (DPO), chargé de veiller à la conformité des traitements de données à caractère personnel de l’entité qui l’a nommé. Il peut être mutualisé entre la Commune et la Métropole, dès lors qu’il est doté des compétences et des moyens nécessaires au bon exercice de ses missions.
Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le
Centre communal d’action sociale de cette ville.
Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.
Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des données à caractère personnel.
D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection
des données, tout au long de la mise en œuvre des traitements
Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de
« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant
mutualisé son système d’information (à défaut, son interlocuteur est le DGS).
V-d/Les obligations spécifiquement souscrites
Le RGPD impose de définir de façon transparente les responsabilités respectives de chacun entre la Commune, responsable de traitement, et Bordeaux Métropole, qui endosse, selon le cas, le rôle de responsable de traitement conjoint ou de sous-traitant. Dans ce but il est expressément convenu ce qui suit :
Les engagements constituant le « socle commun » à toutes les communes, membres du système
d’information mutualisé
- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)
Afin de permettre la construction d’un système d’information mutualisé unitaire et rationnalisé, il est convenu par les présentes, que la commune donne délégation générale à Bordeaux Métropole pour sélectionner les sous-traitants fournisseurs ou prestataires, qu’il s’agisse de traitements exclusivement communaux ou de traitements partagés entre les communes et Bordeaux-Métropole.
Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les
informations relatives aux prestataires concernés et au contenu des engagements souscrits.
Dans l’hypothèse où la commune exprimerait un besoin spécifique différent de la solution mutualisée ainsi offerte, et sous réserve d’un constat de faisabilité technique validé par les deux parties, il appartiendrait à la commune d’en supporter spécifiquement le coût, et de se conformer au processus standard d’acquisition applicable, conformément à l’article 6 des présentes.
- La gestion des demandes des personnes concernées, hors information concernant les violations de données
Le délai de réponse à toute demande d’exercice de ses droits par une personne concernée (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …), est d’un mois à compter de l’entrée en vigueur du RGPD.
Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.
Préalablement à l’envoi de toute réponse, afin de tenir compte des observations de la commune, elle se rapprochera des services communaux concernés par le traitement en cause et recueillera leurs observations.
- L’information des usagers concernant les « violations de données »
Le RGPD définit un délai de 72 heures pour notifier à la CNIL les « violations de donnée » qui sont des violations de sécurité susceptibles de porter atteintes aux droits et libertés des personnes concernées (pertes de contrôle sur les données, discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation…). Cette notification mentionne les mesures prises pour y remédier et en atténuer les conséquences.
Tout retard doit être motivé auprès de la CNIL. En outre, s’il est estimé que la violation engendre un risque élevé pour les personnes concernées, le responsable de traitement leur communique la violation de données sans délai.
Toutes les violations, notifiées, ou non notifiées (en cas de constat de faible risque pour les droits et libertés des personnes) sont consignées dans un registre, assorti de la documentation retraçant l’ensemble des éléments attestant d’une gestion conforme au RGPD (délai de notification, éléments d’analyse, choix des actions correctives, mesures adoptées pour pallier aux conséquences, informations des personnes…)
La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.
Afin de gérer au mieux les incidents de cette nature touchant aux traitements de données à caractère personnel communaux, dont la prise en charge au sein du système d’information mutualisé s’est effectuée dans le respect des processus définis à l’article 6 des présentes, la commune convient de confier l’intégralité des actions nécessaires pour gérer toute violation de données dans le respect du RGPD, y compris, le cas échéant, l’information des usagers, à Bordeaux Métropole, via son RSSI qui agira en collaboration avec le(s) DPO de Bordeaux Métropole et de la commune.