Avenant n°2

Contrat d’engagement

entre Bordeaux Métropole et la commune d’Ambarès-et-Lagrave

Règlement général pour la protection des données (RGPD)

Entre

Bordeaux Métropole représentée par son Président dûment habilité par délibération n° …………………. du ………………..2018, Monsieur Xxxxx Xxxxx, ci-après dénommée "Bordeaux Métropole",

d'une part,

La commune d’Ambarès-et-Lagrave représentée par son Maire, Monsieur Michel Héritié, dûment habilité par délibération n° ……… du …….. 2018, ci-après dénommée "la commune d’Ambarès-et- Lagrave",

d'autre part,

VU le contrat d’engagement signé en date du 15 février 2016 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Michel Héritié, Maire d’Ambarès-et-Lagrave.

VU l’avenant n°1 au contrat d’engagement signé le 23 février 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Michel Héritié, Maire d’Ambarès-et-Lagrave,

VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :

- chaque administration désigne un « délégué à la protection des données » ;

- tous les acteurs intervenant sur un même traitement de données à caractère personnel, qu’ils aient la responsabilité de « responsable de traitement », de « responsable conjoint de traitements » ou de « sous-traitants » au sens du RGPD, organisent contractuellement la répartition des obligations qu’il définit.

Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole, l’application du RGPD implique simultanément les responsabilités :

- de la commune membre du service commun de la Direction Générale du Numérique et des Systèmes d’Information (DGNSI), qui conserve légalement la qualité de « responsable de traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le système d’information de Bordeaux Métropole pour son compte ;

- de Bordeaux Métropole qui, pour chaque traitement de données à caractère personnel mis en œuvre via son système d’information mutualisé, pour le compte de la commune, peut recevoir, selon le cas, la qualité de « responsable de traitement conjoint » ou de « sous- traitant » au sens de ce texte.

Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte

Considérant la volonté des parties, de réviser les niveaux de services en application de l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,

Il est convenu et arrêté ce qui suit dans le présent avenant :

ARTICLE 1 : OBJET

Le présent avenant au contrat d’engagement a pour objet de décrire les engagements respectifs des parties dans le contexte de la mutualisation du système d’information entre Bordeaux Métropole et la Commune, afin de se conformer aux exigences du règlement RGPD.

Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.

Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques »,

d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées. En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.

Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux termes du contrat d’engagement.

ARTICLE 2 : MODIFICATION DES ANNEXES

L’annexe du domaine concerné par ces révisions de niveaux de services est :

Domaines	Objet de l’avenant
Numérique et systèmes d’information	Règlement général pour la protection des données

Cette annexe est modifiée et remplace celle établie précédemment.

ARTICLE 3 :

Les autres articles et annexes au contrat d’engagement restent inchangés.

ARTICLE 4 :

Cet avenant entre en vigueur au 1er juillet 2018.

Fait à Bordeaux, le , en deux exemplaires.

Pour la Métropole, Pour la commune,

Le Président, Le Maire,

Xxxxx Xxxxx Michel Héritié

ANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION

AVENANT AU CONTRAT D’ENGAGEMENT

COMMUNE D’AMBARES-ET-LAGRAVE

Propos liminaire à l’ensemble du domaine Numérique et systèmes

d’information

La transition numérique est un mouvement de fond, qui s’accentue fortement. De simple adaptation et incorporation de nouveaux outils, elle devient un mouvement global, qui interroge les entreprises, les collectivités, les citoyens, les modes d’organisation, la culture et les champs d’actions de toutes les structures, transforme progressivement la société dans tous les domaines : économique, social, politique, éducatif, urbain, culturel, administratif…

Relever ces défis nécessite d’être innovant à tous les niveaux, d’anticiper le rythme soutenu d’évolution des technologies, de garantir la sécurité de l’information, de mettre en place des schémas de développement adaptés aux attentes de la population, des entreprises mais aussi aux enjeux majeurs de performance publique dans un contexte de ressources contraintes.

La mutualisation du numérique et des systèmes d’information au sein de service commun témoigne de la volonté, forte et partagée des communes et de la métropole de co-construire et développer ensemble une politique numérique ambitieuse au service et en support des politiques publiques communales et métropolitaines.

La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies

d’échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle doit

également favoriser la construction d’une offre de service commune et apporter des garanties en matière de performance, de disponibilité et de sécurisation des infrastructures, des plateformes et des données, le tout dans un souci de développement durable.

Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune, et de contrats d’engagement objet du présent document.

DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION

SOUS-DOMAINES :

A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE

B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE

C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS

D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES

SYSTEMES D’INFORMATION

I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’information

Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.

II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information

Activités communales mutualisables

A- Co-construction de la stratégie numérique communale, gouvernance et sécurité

• Animation de la veille technologique et de l’innovation au service des métiers

• Co-construction du Schéma numérique communal pluriannuel (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune :

o Des projets propres à la commune ;

o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numérique en ligne, télé services, …)

o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement

numérique du territoire, RH, Finances, …).

• Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS

Pour l’année 2016, seront utilisés les schémas directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016.

• Gestion de la cartographie consolidée du système d’information intégré en cohérence avec le schéma d’urbanisation numérique et SI des services communs.

• Définition et contrôle de mise en œuvre des méthodes qualité et des normes applicables au

domaine numérique et système d’information

• Elaboration de la politique de sécurité des systèmes d’information

• Management de la sécurité de l’information, gestion des risques, audits et conformité

• Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant

B- Réalisation des projets numériques de compétence communale

Etudes et conseil :

• Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la

valeur attendue

• Pré-étude d’avant-projet

• Expertise

Conduite des projets :

• Pilotage et management des projets en lien avec les maitrises d’usage

• Etudes, conception et spécifications

• Passation et exécution des marchés

• Réalisation, développements et paramétrage

• Qualification, recette, intégration et pré-production

• Mise en production et déploiement

• Accompagnement au changement et formation

• Bilan de projet

Maintenance applicative :

• Maintenance corrective et réglementaire

• Maintenance évolutive

C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1)

• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail

standardisé

• Gestion du parc de matériel

• Maintenance, réparation des équipements et maintien en condition opérationnelle des

environnements numériques de travail

• Assistance aux utilisateurs (agents, élus et publics identifiés) :

o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI

o Résolution et clôture du ticket

• Formation des utilisateurs en matière de poste et environnement numérique de travail (en

lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation)

• Suivi des interventions et tableaux de bord

D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes

d’information (2)

Audit, conseil et conception des infrastructures

• Audit et conseil

• Ingénierie

• Mise en place, administration des infrastructures informatique et des réseaux

Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information

• Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un

prestataire hébergeur

• Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…)

• Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et

des infrastructures

• Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des

engagements

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité)

Hébergement, exploitation et maintien en condition opérationnelle des réseaux

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures et équipements (éléments actifs,

bornes, fibre, …) et notamment exploitation / construction / maintenance des réseaux GFU,

WIFI privés et publics

(1) On entend ici par « Poste et environnement numérique de travail / assistance utilisateurs », l’ensemble des moyens mis à la disposition des utilisateurs pour leur permettre notamment de travailler, se connecter, éditer, être informé, communiquer. Sont notamment couverts par ce domaine :

• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,

• Les applications indispensables au fonctionnement du terminal (systèmes d’exploitation, licences matérielles et d’environnements, …),

• Les outils bureautiques et collaboratifs dont mail,

• Les services d’impression et de numérisation : individuels et collectifs,

• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),

• L’accès à internet et les abonnements de données éventuels,

• Les services de sécurisation du poste, de stockage et de sauvegarde,

• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou incidents.

(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser progressivement avec la direction des bâtiments le cas échéant.

III/ Modalités de mise en œuvre

III-a/ Les responsables en charge des activités du domaine Numérique et Systèmes d’information s’engagent à mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable et transparente entre les communes et le service commun métropolitain, en portant une attention toute particulière à :

- Garantir le maintien du niveau de service actuellement disponible et assurer le respect des engagements pris, qu’il s’agisse de niveau de performance, d’équipement ou de plage horaire d’intervention. Veiller notamment à la disponibilité et la continuité de service des applications métiers, au stockage et à la conservation des données ;

- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;

- Mettre en œuvre des approches globales et des réflexions transverses dans une logique de convergence permettant in fine de dégager des marges de manœuvre source de nouveaux projets et d’amélioration de la qualité de service ;

- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de

plateformes applicatives et technologiques.

D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :

• Mettra en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de

premier niveau, la gestion des incidents et des demandes des utilisateurs ;

• Favorisera la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;

• Définira une offre de service s’appuyant sur de nouveaux standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, ….). Il s’agira également de mettre en place des outils et processus d’intervention qui s’inspireront des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;

• Consolidera les infrastructures dans des salles informatiques sécurisées. La Métropole se réserve la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24, 7 jours/7 ou encore des besoins ponctuels de capacité.

L’ensemble de cette dynamique s’appuyant sur une approche basée sur des points de rencontre

réguliers :

- tant en format « individuel » entre la commune et le service commun, notamment au travers de la mise en place d’un point de contact unique privilégié assuré, pendant la phase transitoire, par l’ancien DSI

- qu’en format coopératif : entre les communes ayant fait le choix de la mutualisation

et le service commun.

III-b/ Les modes de fonctionnement :

Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la commune et le service commun de la Métropole concernant le domaine Numérique et Systèmes d’Information.

Bordeaux Métropole et les communes s’engagent à formaliser des modes de fonctionnement à la mise en place des services communs, les éléments présentés ci-après constituant de premiers éléments explicatifs des modes de fonctionnement envisagés. L’ensemble des modes de fonctionnement qui seront progressivement mis en œuvre s’appuieront sur des référentiels de bonnes pratiques déjà déployés dans plusieurs collectivités impliquées dans la mutualisation. Ainsi le contenu de l’ensemble de ces annexes s’est fortement appuyé sur ces documents de référence tels que ITIL (Information Technology Infrastructure Library), ISO 9001, CMMI (Capability Maturity Model for Integration), COBIT (Control Objectives for Information and Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes pratiques en matière de sécurité des SI).

DOCUMENTS DE REFERENCE

Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises, l’université, les écoles et les associations.

GOUVERNANCE :

Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent contrat d’engagement, il est proposé de mettre en place la comitologie suivante :

Comité numérique stratégique communal

• Objet : Elabore, valide et porte le schéma numérique pour la commune, sa mise à jour annuelle et assure un point d’avancement à mi- année sur les projets prévus. Assure les arbitrages éventuellement nécessaires en matière de contrat d’engagement.

• Participants :

o Pour la commune : Elu en charge du numérique (ou d’un représentant désigné par le Maire), des élus thématiques, selon les dossiers abordés, du directeur général des services et des directeurs généraux adjoints concernés.

o Pour le service commun : le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition), les directeurs en charge des programmes numériques concernés, le Directeur général en charge du service commun.

• Fréquence : annuel à bi-annuel

Comité de suivi du contrat d’engagement :

• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration éventuelle et

des nouveaux besoins à anticiper : nouveaux projets, nouveaux équipements, …

• Participants :

o Pour la commune : le Directeur Général des Services (ou son représentant), référent pour le

suivi du contrat d’engagement.

o Pour le service commun : un représentant de la Direction d’appui administrative et financière, le Directeur en charge de l’assistance et de l’offre de service, le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).

• Fréquence : trimestriel

Point d’avancement opérationnel :

• Objet : Suivi continu des activités liées au Numérique et aux systèmes d’information pour la commune : partage des travaux en cours, des priorités et points d’attention identifié, suivi de difficultés (incidents) et anticipation d’actions à venir (déménagement). A ces comités s’ajouteront une participation aux comités de directions en cas de présence de points de décision relatifs aux systèmes d’information ;

• Participants :

o Pour la commune : référent pour le suivi du contrat d’engagement.

o Pour le service commun : responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).

• Fréquence : formel toutes les deux semaines.

A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le cadre des projets. D’une manière générale le chef de projet du service commun et le chef de projet métier - maître d’usage managent le projet en conformité avec les bonnes pratiques de la profession. Par exemple, ils préparent au démarrage d’un projet, un "plan projet " qui permet de cadrer les modalités de la collaboration :

• Objectifs du projet ;

• Définition des gains attendus et du ROI (Retour sur Investissement) et des indicateurs de gains qualitatifs ou quantitatifs attendus, retour sur les coûts et charges d'une part, les bénéfices attendus d'autre part ;

• Plan de financement du projet ;

• Principaux intervenants impliqués de part et d'autre, hauteur et nature de l'engagement sur la période du projet pour assurer que les ressources nécessaires seront bien présentes et autoriser le démarrage de l'opération ;

• Modalités de consultation des entreprises ;

• Planning global du projet, principaux jalons, échéances majeures pour chacun des partenaires : fin de conception et confirmation des charges, recette et validation du travail par les utilisateurs avant démarrage, par exemple ;

• Dispositif de gestion du changement, d'accompagnement des utilisateurs dans les évolutions des processus de leur métier.

ROLES ET RESPONSABILITES

Rôles et responsabilités globales sur le domaine

Responsable pour le service commun

Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général du service

commun.

Responsable pour la commune

Directeur général des services

Types de saisines

A- Co-construction de la stratégie numérique communale, gouvernance et sécurité

B- Réalisation des projets numériques de compétence communale

C- Fourniture des postes et environnements numériques de travail

/ assistance utilisateurs

D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information

Saisine ordinaire

Commune : Directeur général des services Service commun : Responsable du service commun en charge du contact avec la commune concernée (Direction des systèmes

d’information actuel

pendant la phase de transition)

Commune : Chef de projet - maîtrise d’usage

Service commun : Chef de projet service commun

Commune : utilisateur (élu, agent, citoyen, …)

Service commun : Centre d’appel

Commune : Responsable applicatif métier Service commun :

Chefs de service de la Direction des infrastructures et de la production

Saisine en urgence

Commune : Directeur général des services Service commun :

Adjoints au directeur général du service commun.

Commune : Chef de projet - maîtrise d’usage

Service commun : Directeur des programmes numériques concerné

Commune : Chef de service de l’utilisateur Service commun :

Chef de service

centre d’appel et

pilotage

Commune : Chef de service en charge de l’application

Service commun : Directeur des infrastructures et de la production

Saisine exceptionnelle

Commune : Directeur général des services Service commun : Directeur général du service commun.

Commune : Directeur général des services Service commun : Adjoint au directeur général en charge des programmes

numériques

Commune : Directeur en charge de

l’utilisateur

Service commun :

Directeur de

l’assistance et de l’offre de service

Commune : Directeur en charge de

l’application

Service commun : Adjoint au directeur général en charge de la stratégie et des systèmes d’information

IV/ Les engagements de service

IV-a/ Engagements de service généraux et priorités

Les principales priorités / dossiers prioritaires en matière de numérique et de systèmes d’Information sont les suivants :

- Garantir la résolution réactive des problèmes (accès réseau et internet) sur les sites prioritaires (hôtel de ville)

- Maintenir l’Intranet en état de fonctionnement jusqu’à la mise en place d’un ou des applicatifs remplissant les mêmes fonctionnalités. La commune s’engage à fournir l’ensemble des documents/informations nécessaires à ce maintien.

- Maintenir la politique de développement de l’accès au numérique dans les écoles

IV-b/ Les indicateurs et valeurs cibles

Des éléments de volumétrie seront à identifier pour disposer d’une référence de volume d’activités transférées. Si le volume de dossiers traités par an augmente en année N, cette variation sera à prendre compte dans l’analyse de l’atteinte des niveaux d’engagement.

La production de ces indicateurs est soumise à l’existence et la mise à disposition des données

permettant leur calcul.

Une étude de faisabilité sera réalisée et partagée avec la commune lors des 1ères revues de contrat d’engagement afin de préciser les modalités et les délais de livraison des différents indicateurs contractualisés des services communs.

Sous-domaines de mutualisation

Engagements de service

du domaine Numérique et

systèmes d’information

Indicateurs

(Définition/Mode de calcul de

l’indicateur)

Périodicité de suivi

Source de suivi*

Niveau de service constaté

(et volumétrie correspondante)

Conditions de réalisation de l’engagement

(pré-requis)

A. Co- construction de la stratégie numérique communale, Gouvernance et sécurité

Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la

commune

Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma numérique communal (sur 3 ans)

Annuelle

Livrable

Existence : Non

Engagement 1.2 : Maitriser les risques liés aux systèmes

d’information

Indicateur 1.2.1 : Niveaux de maturité en sécurité des

systèmes d’information sur la

base de la norme ISO 27001

Annuelle

Audit

Existence : Non

B. Réalisation des projets numériques de compétence communale

Engagement 2.1 : Réaliser les projets conformément aux priorités partagées et définies au schéma numérique communal

Indicateur 2.1.1 : Charge consacrée aux projets

Mensuelle ou trimestrielle

Outil de gestion de projets

Existence : Non

Indicateur 2.1.2 :

Taux de réalisation des projets conformément au Schéma numérique

communal

Annuelle

Outil gestion de projet

Existence : Non

Engagement 2.2 : Maintenir les applications métiers du système d’information

de la commune

Indicateur 2.2.1 : Etendue du parc applicatif maintenu

Annuelle

Outil gestion de projet

Document en cours d'élaboration pour le recensement des applicatifs métiers de l'intranet

Recensement des applicatifs métiers

C. Fourniture des postes et environnements numériques de travail /

assistance utilisateurs

Engagement 3.1 : Assurer le renouvellement des postes et environnements

numérique de travail (PENT)

Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels

Annuelle

Inventaire du parc des PENT

Renouvellement du parc sur 4 ans avec systèmes d'exploitation.

Engagement 3.2 : Maintenir les horaires d’ouverture du service

d’assistance /support de

la commune

Indicateur 3.2.1 : Heures

d’ouvertures de l’assistance /

support sur le niveau 1

Annuelle

Données

d’exploitation

du service

Ouverture du service informatique sur l'intégralité des plages d'ouverture des services administratifs

Engagement 3.3 : Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais

Indicateur 3.3.1 :

Délai de prise en compte des

demandes

Mensuelle ou trimestrielle

Centre

d’assistance et de support utilisateurs

Prise en compte immédiate durant les plages d'ouverture du service informatique

Indicateur 3.3.2 :

Délai de résolution des

incidents par criticité

Délai de résolution fonction du taux de criticité et du service / agent concerné. A

définir avec le DGS.

D. Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes

d’information

Engagement 4.1 : Assurer la disponibilité et la continuité de service des applications et services métiers critiques

Indicateur 4.1.1 :

Délai d’intervention

Mensuelle ou trimestrielle

Centre

d’assistance/ support utilisateurs + direction des infrastructures et de la

production

780 demandes d'intervention en 2015

Indicateur 4.1.2 :

Délai de remise en service

Délai de remise en service fonction du taux de criticité et du service / agent concerné. A définir avec le DGS.

Engagement 4.2 : Assurer le stockage et la conservation des données et des informations de la commune

Indicateur 4.2.1 :

Délais de restauration

Annuelle

Direction des infrastructures et de la production

varie selon le support de sauvegarde – entre

½ heure et 1 jour

Indicateur 4.2.2 : Durée maximum d’enregistrement des

données qu’il est acceptable

de perdre

1 journée

*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de satisfaction, certification…). Cf. article 2 du contrat

d’engagement.

V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement »

Contexte

droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel. Ce règlement renforce notamment :

- Le marché commun de l’économie numérique, en harmonisant les législations des états

membres.

- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant un

véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de nouveaux droits tels que la portabilité des données, permettant de faire transférer ses données d’une entreprise à l’autre.

- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de

« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de

« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.

Tous, à égalité, sont désormais tenus de respecter les nouvelles exigences de sécurité imposant de prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens, avant la mise en œuvre de chaque nouveau traitement ainsi que les exigences d’inventaire et de documentation de la conformité des traitements.

V-a/ Définitions

En conformité avec les textes applicables il est défini que :

- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :

o directement (nom prénom, photo, e-mail nominatif…)

o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)

- Constituent des « traitements de données à caractère personnel » toutes opérations portant sur de telles données quel que soit le procédé utilisé : collecter, enregistrer, organiser, conserver, modifier, combiner, transmettre…)

- Sont concernés au premier chef les traitements informatisés, mais aussi les fichiers « papier » s’ils constituent des traitements stables, organisés méthodiquement, accessibles selon des critères déterminés (plan de classement, ordre alphabétique ou chronologique, formulaires nominatifs…).

- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui

détermine les finalités et les moyens d’un traitement de données à caractère personnel considéré.

- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les

finalités et les moyens d’un tel traitement.

- A qualité de « sous-traitant », la personne physique ou morale qui traite les données pour le compte du responsable de traitement. Le sous-traitant peut lui-même recourir à des « sous-traitants ultérieurs » dans le respect de conditions contractuellement définies par le responsable de traitement.

- A qualité de « Délégué à la Protection des Données » d’un organisme (DPO), la personne physique désignée par un acte formel du représentant légal de l’organisme, chargée de piloter et de contrôler la conformité interne des traitements à la législation en vigueur.

- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de traitement résumées comme suit :

1. Principe de licéité, de loyauté, de transparence du traitement

2. Principe de finalité déterminée, explicite, légitime de chaque traitement

3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré

4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin

ou leur suppression

5. Principe d’information des personnes dont les données sont traitées

6. Principe de sécurité et de confidentialité des données traitées

7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.

Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale

Informatique et Libertés)

V-b/ RGPD- Principes et responsabilités

Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants, susceptibles d’être conjointement engagées.

En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.

Responsabilités communes aux responsables de traitement et sous-traitants

- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des traitements de données à caractère personnel (principe d’accountability).

Ainsi, par défaut, dès la conception, les traitements de données à caractère personnel doivent être paramétrés pour fournir un niveau de sécurité adapté, en priorisant la protection de la vie privée. De véritables « analyse d’impact sur la vie privée » peuvent être requises, ainsi qu’une saisine de la CNIL, par exemple pour des traitements concernant des usages innovants, des données sensibles ou des traitements à grande échelle (principes de security by default et privacy by design).

- Les autorités publiques, qu’elles soient responsables de traitement ou sous-traitant, doivent désigner un Délégué à la protection des données ou « DPO » qui peut être commun à plusieurs organismes.

Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.

- Chacun, responsable de traitement et sous-traitant, doit tenir un registre des traitements de données à caractère personnel effectués. Celui-ci est à produire à toute demande des administrés ou à tout contrôle de l’autorité nationale de régulation, la CNIL.

Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.

Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…

Le sous-traitant recense pour sa part, les catégories de traitement effectuées pour le compte de chaque « responsable de traitement » ainsi que les principales mesures organisationnelles et techniques liées à leur sécurité.

- De façon concertée, toutes les « failles de sécurité » doivent être identifiées pour permettre une déclaration sous 72 heures à l’autorité de contrôle voire, une notification aux personnes concernées. Elles sont également consignées par chacun dans un registre exhaustif.

Responsabilités propres au « responsable de traitement »

- Chaque responsable de traitement est tenu de mettre en œuvre les mesures organisationnelles et techniques permettant d’assurer la conformité et la sécurité des traitements. Il demeure, tout au long du cycle de vie du traitement, le premier garant du respect des « règles d’or ».

Il veille particulièrement à la bonne information des personnes concernées et à la bonne mise en œuvre de leurs droits (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …).

- En cas de responsables de traitements conjoints, ceux-ci doivent définir de façon transparente leurs obligations respectives par voie d’accord écrit. Les personnes concernées pourront exercer leurs droits à l’égard et à l’encontre de chacun d’eux.

- Le responsable de traitement ne recourt qu’à des sous-traitants aptes à appliquer les mesures organisationnelles et techniques appropriées de manière à ce que le traitement soit conforme au RGPD.

Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au

sous-traitant qui ne doit agir que sur ordre du responsable de traitement.

Responsabilités propres au « sous-traitant »

Celui-ci a l’obligation de s’en tenir aux instructions documentées du responsable de traitement et de prendre toutes les mesures de sécurité requises conformément à l'article 28 et 32 du RGPD. Il s'agit et notamment de garantir des moyens permettant d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, afin de préserver les données de tout accès non autorisé ou de toute perte ou destruction.

Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour

attester de la conformité et pour permettre la réalisation d’audits.

Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du

traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.

Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.

Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.

Il ne recourt à des « sous-traitants ultérieurs » que sur autorisation écrite spécifique ou générale du responsable de traitement. Il le tient informé et reste le garant de la conformité aux instructions, des actions ainsi déléguées.

V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information

Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun

des traitements de données à caractère personnel mis en œuvre pour son compte.

La Métropole qui met le système d’information mutualisé dont elle est propriétaire à disposition des agents des services communs ou des services municipaux utilisant des traitements pour le compte de la commune, endosse selon le cas :

o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,

o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,

o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le

système d’information commun, sans qu’elle en ait défini les finalités et les moyens.

Des tiers, extérieurs à la commune et à Bordeaux Métropole, tels que des fournisseurs, prestataires, délégataires, ou autres, sélectionnés ou désignés dans le respect des règles applicables à leur contrat, peuvent également tenir un rôle de « responsables conjoints », de « sous-traitants » ou de

« sous-traitants ultérieurs » en fonction des cadres contractuels en cause.

Chaque entité, Commune ou Métropole, a l’obligation de désigner un « Délégué à la protection des données » (DPO), chargé de veiller à la conformité des traitements de données à caractère personnel de l’entité qui l’a nommé. Il peut être mutualisé entre la Commune et la Métropole, dès lors qu’il est doté des compétences et des moyens nécessaires au bon exercice de ses missions.

Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et

le Centre communal d’action sociale de cette ville.

Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.

Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des

données à caractère personnel.

D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection des données, tout au long de la mise en œuvre des traitements

Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de

« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant mutualisé son système d’information (à défaut, son interlocuteur est le DGS).

V-d/Les obligations spécifiquement souscrites

Le RGPD impose de définir de façon transparente les responsabilités respectives de chacun entre la Commune, responsable de traitement, et Bordeaux Métropole, qui endosse, selon le cas, le rôle de responsable de traitement conjoint ou de sous-traitant. Dans ce but il est expressément convenu ce qui suit :

Les engagements constituant le « socle commun » à toutes les communes, membres du système

d’information mutualisé

- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)

Afin de permettre la construction d’un système d’information mutualisé unitaire et rationnalisé, il est convenu par les présentes, que la commune donne délégation générale à Bordeaux Métropole pour sélectionner les sous-traitants fournisseurs ou prestataires, qu’il s’agisse de traitements exclusivement communaux ou de traitements partagés entre les communes et Bordeaux-Métropole.

Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les informations relatives aux prestataires concernés et au contenu des engagements souscrits.

Dans l’hypothèse où la commune exprimerait un besoin spécifique différent de la solution mutualisée ainsi offerte, et sous réserve d’un constat de faisabilité technique validé par les deux parties, il appartiendrait à la commune d’en supporter spécifiquement le coût, et de se conformer au processus standard d’acquisition applicable, conformément à l’article 6 des présentes.

- La gestion des demandes des personnes concernées, hors information concernant les violations de données

Le délai de réponse à toute demande d’exercice de ses droits par une personne concernée (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …), est d’un mois à compter de l’entrée en vigueur du RGPD.

Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.

Préalablement à l’envoi de toute réponse, afin de tenir compte des observations de la commune, elle se rapprochera des services communaux concernés par le traitement en cause et recueillera leurs observations.

- L’information des usagers concernant les « violations de données »

Le RGPD définit un délai de 72 heures pour notifier à la CNIL les « violations de donnée » qui sont des violations de sécurité susceptibles de porter atteintes aux droits et libertés des personnes concernées (pertes de contrôle sur les données, discrimination, vol, usurpation d’identité, perte financière, atteinte à la réputation…). Cette notification mentionne les mesures prises pour y remédier et en atténuer les conséquences.

Tout retard doit être motivé auprès de la CNIL. En outre, s’il est estimé que la violation engendre un risque élevé pour les personnes concernées, le responsable de traitement leur communique la violation de données sans délai.

Toutes les violations, notifiées, ou non notifiées (en cas de constat de faible risque pour les droits et libertés des personnes) sont consignées dans un registre, assorti de la documentation retraçant l’ensemble des éléments attestant d’une gestion conforme au RGPD (délai de notification, éléments d’analyse, choix des actions correctives, mesures adoptées pour pallier aux conséquences, informations des personnes…)

La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.

Afin de gérer au mieux les incidents de cette nature touchant aux traitements de données à caractère personnel communaux, dont la prise en charge au sein du système d’information mutualisé s’est effectuée dans le respect des processus définis à l’article 6 des présentes, la commune convient de confier l’intégralité des actions nécessaires pour gérer toute violation de données dans le respect du RGPD, y compris, le cas échéant, l’information des usagers, à Bordeaux Métropole, via son RSSI qui agira en collaboration avec le(s) DPO de Bordeaux Métropole et de la commune.

Préalablement à l’envoi de toute réponse, le RSSI et le DPO de Bordeaux Métropole se rapprocheront des services communaux concernés, pour recueillir leurs observations ou consignes et agir en concertation.

- La désignation du DPO

En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à compter du 25 mai 2018.

La commune a souhaité mutualiser cette fonction avec Bordeaux Métropole désigne dans les formes requises et avec son accord le DPO concerné. Elle définit dans la lettre de mission qu’elle lui notifie les modalités lui permettant d’assurer sa mission sur le périmètre de la totalité des traitements communaux.

V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD

L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :

V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein

d’un « projet numérique » commandé via le service commun DGNSI

Conformément aux principes définis au paragraphe B II/ « Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information supra, les commandes de projets numériques se découpent en 3 phases :

- étude et conseil

- conduite de projet

- maintenance applicative

Conformément à la fiche technique intitulée « commande d’un projet numérique », un « diagnostic d’architecture et de sécurité » est réalisé au cours de l’étape « étude et conseil », en amont de la validation du projet et du lancement des procédures d’acquisition s’y rapportant.

Tout traitement de données à caractère personnel identifié au cours de cette phase implique la saisine du DPO par le chef de projet informatique. Ainsi, lorsque le projet est validé, les procédures requises par le RGPD peuvent être mise en œuvre de concert entre le service commun DGNSI et le ou les DPO de la commune et de Bordeaux Métropole, avant la conception technique du projet (« privacy by design »). La preuve de cette analyse est conservée en vue de documenter le registre et la produire en cas de litige, ou à tout contrôle de la CNIL.

V-e/2- Expression d’un besoin incluant un traitement de données à caractère personnel au sein d’un projet non identifié spécifiquement comme un projet numérique géré par la DGNSI, impliquant une procédure contractuelle traitée par un service de la commande publique

Avec l’objectif d’une administration totalement dématérialisée pour 0000 xx xxxxx x x’xxxxxxxxxx 0000-0000 imposant la saisine de l’administration par voie électronique, la part des projets de marchés d’acquisition, de fourniture, de services ou de travaux, ainsi que la part des délégations de service public, qui comprennent un fort volet numérique, ne cesse de croître. Pour autant ces projets ne constituent pas nécessairement, à titre principal, des projets numériques traités par la DGNSI.

Il appartient en conséquence aux agents chargés de la procédure initiale de mise en concurrence, d’identifier la présence de données à caractère personnel au sein des traitements susceptibles d’être mis en œuvre et de saisir la DGNSI ainsi que le DPO en amont de la rédaction des pièces du dossier de mise en concurrence, conformément à une fiche technique intitulée « conformité au RGPD dans les procédures contractuelles comportant un volet numérique ».

V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable du DPO

Les services communaux ou les services communs peuvent envisager :

- des projets d’évolution de traitements de données à caractère personnel existants (nouvelles extractions pour des analyses prospectives, des croisements, des évolutions des fonctionnalités ou de destinataires…).

- la création directe de nouveaux traitements (projets de traitements bureautiques,

utilisation de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).

Ces cas requièrent l’avis préalable du DPO, dès lors qu’ils concernent des données à caractère personnel. Celui-ci orientera, si nécessaire, le demandeur, vers une demande de projet numérique visée au V-e/1.

Conformément à la fiche technique intitulée « saisine directe du DPO », ces projets ne doivent pas être mis en œuvre sans l’avis conforme du DPO de Bordeaux Métropole et de la commune qui l’inscrira (ont) aux registres concernés.

Dans les trois cas présentés ci-dessus (V-e/1, V-e/2, V-e/3) dès lors que la création d'un traitement est validée, les services communs et plus particulièrement la DGNSI ainsi que les directions et services chargés de la commande publique, veilleront à la bonne mise en œuvre des différentes mesures organisationnelles et techniques nécessaires pour garantir un niveau de sécurité des données adapté au risque, conformément au RGPD et à la PGSSI du SI mutualisé.

V-f/Application du droit à l’effacement

Conformément au droit à l'oubli défini par le RGPD, les données ne peuvent être conservées sous une forme permettant l'identification des personnes concernées que pour la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.

La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement

consiste :

V-f/1- soit en l'effacement des données personnelles elles-mêmes

V-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes concernées

V-f/3- soit en l'archivage intermédiaire, pendant les durées nécessaires pour les besoins juridiques (preuve, contentieux). Dans ce cas, l'accès aux données est restreint aux personnes habilitées à cette unique fin, par des mesures techniques et organisationnelles appropriées. A l’issue de cet archivage intermédiaires les données font l’objet des mesures prescrites aux articles V-f/1, V-f/2ou V-f/4

V-f/4--soit en l’archivage définitif des données, décidé par le Responsable de Traitement, dans le respect du Code du patrimoine pour des fins archivistiques dans l'intérêt public, ou des fins de recherche scientifique ou historique ou statistiques.

Concrètement, dès lors qu’un traitement a été mis en œuvre dans le respect de l’article V-e/ des présentes, les options V-f/1, V-f/2 et V-f/3 sont appliquées par les services communs de Bordeaux Métropole compétents, et notamment la DGNSI, selon les procédures internes applicables.

Dans l'hypothèse V-f/1, la commune pour laquelle ce traitement est mis en œuvre sera informée préalablement à la date d'effacement prévue afin d'être en mesure de réitérer son accord pour cette action.

Dans l’hypothèse où la commune envisage un archivage définitif de certaines données, il lui appartient, dans le respect de l’article 89 du RGPD, de définir et de mettre en œuvre les moyens et procédures nécessaires pour conserver les données et garantir le respect des droits et libertés des personnes concernées.

V-g/ Gouvernance

Les instances de gouvernance de la sécurité du système d’information mutualisé, décrites au sein de la PGSSI , qui est jointe au référentiel de documents permettent d’aborder les questions liées à la mise en œuvre du RGPD. Trois instances y sont identifiées (comité stratégique de sécurité, comité de pilotage de la sécurité, comité de suivi des actions récurrentes de sécurité).

La PGSSI précise qu’en cas de difficulté avérée entre les préconisations des services de Bordeaux Métropole et les services de la commune, au sujet d’un traitement de données à caractère personnel relevant de la commune, un arbitrage formalisé pourra être recherché auprès du Directeur Général des Services communaux et du Directeur Général des Services de Bordeaux Métropole. L’avis de l’Inspecteur Général des Service de Bordeaux Métropole pourra être également être recherché. Le cas échéant, la CNIL pourra être interrogée.

V-h/ Auditabilite

Le RGPD prévoit que chaque sous-traitant met à la disposition du responsable de traitement toutes les informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et pour permettre la réalisation d’audits y compris des inspections, par le responsable de traitement.

Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents

(registre des traitements, registre des violations de sécurité, documentation technique…) afférents.

L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.

V-i/Sensibilisation des personnels

Des campagnes de sensibilisation ciblées seront progressivement organisées par Bordeaux Métropole à compter du premier semestre de 2018, au profit de l’ensemble des agents des services communs. Ces sessions seront ouvertes aux agents communaux concernés par le RGPD.

Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes

d’information.

Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de

sensibilisation requis pour la bonne application du RGPD.

V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole

Conformément aux cas de figures décrits à l’art V-e/ supra, au titre du RGPD, il apparaît spécifiquement que la responsabilité du Président de Bordeaux Métropole, dans le cadre de la mutualisation du système d’information, peut ressortir, soit de la qualité de « responsable conjoint des traitements », soit de la qualité de « sous-traitant », vis-à-vis de chacun des traitements communaux s’appuyant sur le système d’information mutualisé.

Le système d’information mutualisé constitue un outil commun, qui doit tendre vers la meilleure qualité de services, et notamment la meilleure sécurité et la meilleure conformité aux règles de droit applicables. Il est tenu de procurer un service de confiance aux élus, agents et usagers.

Ce faisant, les parties conviennent expressément, aux termes des présentes, que tout processus de création ou d’acquisition d’un nouveau traitement de données à caractère personnel devra intervenir dans le respect du référentiel documentaire et notamment des règles et processus standard décrits aux termes de « fiches techniques ou de politiques spécifiques » ou autres documents techniques collectivement applicables aux utilisateurs du système d’information, tels que visés à l’article 6 des présentes et notifiés à la commune par courrier au directeur des services.

Ces règles et processus standard sont notamment destinées à permettre la bonne application du

RGPD et une bonne sécurité du système d’information.

En cas de non-respect par la commune des processus standardisés prédéfinis et notifiés à celle-ci, Bordeaux Métropole dégage expressément toute responsabilité contractuelle et sera susceptible de demander à celle-ci, réparation de tout débours qui résulterait d’une mise en œuvre de traitements non conformes.

V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du

présent avenant

Avant l’entrée en vigueur du présent avenant, ou au plus tard avant le 31 décembre 2018, la commune s’engage à faire réaliser et à fournir à Bordeaux Métropole, un état des lieux exhaustif des traitements communaux de données à caractère personnel antérieurs, ici appelés « traitements communaux antérieurs » transmis lors la mutualisation des services et encore actuellement utilisés pour son compte par des agents communaux ou des agents des services communs. Ce document aura valeur contractuelle.

Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son registre.

Il lui appartient de s’assurer que les traitements communaux antérieurs, clos, sont traités conformément aux dispositions de l’article 8 supra (Application du droit à l'effacement) et de déclarer l’arrêt de ceux-ci auprès du DPO.

Il est expressément convenu que la responsabilité de Bordeaux Métropole ne peut être recherchée à aucun titre que ce soit, concernant l’éventuelle non-conformité au RGPD des traitements communaux antérieurs. La commune dédommagera en conséquence, Bordeaux Métropole, de tout débours ou préjudice qui pourrait résulter d’une non-conformité au RGPD des traitements communaux antérieurs concernés. Un plan d’action relatif aux traitements communaux antérieurs identifiés comme nécessitant une requalification prioritaire sera définie conjointement.

La responsabilité de Bordeaux Métropole est engagée dès lors qu'un traitement communal antérieur aura fait l'objet d'une évolution fonctionnelle demandée par la maîtrise d'usage, traitée par Bordeaux Métropole selon un processus normalisé décrit à l’article 6 des présentes.

Avenant n°3

Contrat d’engagement entre Bordeaux Métropole et la commune

de Bègles

Règlement général pour la protection des données (RGPD)

Entre

Bordeaux Métropole représentée par son Président, Monsieur Xxxxx Xxxxx, dûment habilité par délibération n°…… du 2018,

D'une part,

Et

La commune de Bègles représentée par son Maire, X. Xxxxxxx Rossignol Puech, dûment habilité par délibération n° ……….. du 2018,

D’autre part,

VU le schéma de mutualisation adopté le 29 mai 2015 ;

VU le contrat d’engagement signé le 15 février 2016 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxxxx Puech, Maire de Bègles,

VU l’avenant n°1 au contrat d’engagement signé le 10 mars 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxx Xxxxxx, Maire de Bègles,

VU l’avenant n°2 au contrat d’engagement signé le 21 décembre 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxxxx Puech, Maire de Bègles

VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :

- chaque administration désigne un « délégué à la protection des données » ;

Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole,

l’application du RGPD implique simultanément les responsabilités :

Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte

Considérant la volonté des parties, de réviser les niveaux de services en application de l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,

Il est convenu et arrêté ce qui suit dans le présent avenant :

ARTICLE 1 : OBJET

Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.

Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux

termes du contrat d’engagement.

ARTICLE 2 : MODIFICATION DES ANNEXES

L’annexe du domaine concerné par ces révisions de niveaux de services est :

Domaines	Objet de l’avenant
Numérique et systèmes d’information	Règlement général pour la protection des données

Cette annexe est modifiée et remplace celle établie précédemment.

ARTICLE 3 :

Les autres articles et annexes au contrat d’engagement restent inchangés.

ARTICLE 4 :

Cet avenant entre en vigueur au 1er juillet 2018.

Fait à Bordeaux, le , en deux exemplaires.

Pour la Métropole, Pour la commune,

Le Président, Le Maire,

Xxxxx Xxxxx Xxxxxxx Xxxxxxxxx Puech

ANNEXE

- Numérique et systèmes d’information

Annexe 4 contrat d’engagement : Domaine Numérique-SI

ANNEXE 4 POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION – CONTRAT D’ENGAGEMENT

COMMUNE DE BEGLES

Propos liminaire à l’ensemble du domaine Numérique et Systèmes

d’Information

La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies d’échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle doit également favoriser la construction d’une offre de service commune et apporter des garanties en matière de performance, de disponibilité et de sécurisation des infrastructures, des plateformes et des données, le tout dans un souci de développement durable.

Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune et de contrats d’engagement objet du présent document.

Annexe 4 contrat d’engagement : Domaine Numérique-SI

DOMAINE : Numérique et Système d’Information

1. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE

2. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE

3. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS

4. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES

SYSTEMES D’INFORMATION

I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’informations

Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la Commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.

II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Informations

Activités mutualisées par la Commune (y compris le CCAS)

A- Co-construction de la stratégie numérique communale, gouvernance et sécurité

• Animation de la veille technologique et de l’innovation au service des métiers

• Co-construction du Schéma Numérique Communal pluriannuel décliné par direction générale / politique publique (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune :

o Des projets propres à la commune ;

o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numériques en ligne, télé services, …)

o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement

numérique du territoire, RH, Finances, …).

• Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS

Pour l’année 2016, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016.

B- Réalisation des projets numériques de compétence communale

Etudes et conseil :

• Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue

• Pré-étude d’avant-projet

• Expertise

Conduite des projets :

• Pilotage et management des projets en lien avec les maitrises d’usage

Annexe 4 contrat d’engagement : Domaine Numérique-SI

• Etudes, conception et spécifications

• Passation et exécution des marchés

• Réalisation, développements et paramétrage

• Qualification, recette, intégration et pré-production

• Mise en production et déploiement

• Accompagnement au changement et formation

• Bilan de projet

Maintenance applicative :

• Maintenance corrective et réglementaire

• Maintenance évolutive

C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1)

• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail

standardisé

• Gestion du parc de matériel

• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail

• Assistance aux utilisateurs (agents, élus et publics identifiés) :

o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI

o Résolution et clôture du ticket

• Formation des utilisateurs en matière de poste et environnement numérique de travail (en

lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation)

• Suivi des interventions et tableaux de bord

D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes

d’information (2)

Audit, conseil et conception des infrastructures

• Audit et conseil

• Ingénierie

• Mise en place, administration des infrastructures informatique et des réseaux

Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information

• Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un

prestataire hébergeur

• Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de

stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…)

• Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et des infrastructures

• Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des

engagements

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité)

Hébergement, exploitation et maintien en condition opérationnelle des réseaux

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures et équipements (éléments

actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des

réseaux GFU, WIFI privés et publics

Annexe 4 contrat d’engagement : Domaine Numérique-SI

• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,

• Les applications indispensables au fonctionnement du terminal (systèmes d’exploitation, licences matérielles et d’environnements, …),

• Les outils bureautiques et collaboratifs dont mail,

• Les services d’impression et de numérisation : individuels et collectifs (non couvert en cycle 1),

• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),

• L’accès à internet et les abonnements de données éventuels,

• Les services de sécurisation du poste, de stockage et de sauvegarde,

• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou incidents.

(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser progressivement avec la direction des bâtiments

le cas échéant.

Exclusions du périmètre en cycle 1 : Ne sont pas assuré par le service commun les activités :

• De maintenance et d’évolution des applicatifs et services web de la Ville de Bègles (notamment son site internet) qui restent gérés par la Ville de Bègles qui conserve donc l’ensemble des marchés et budgets nécessaires à ces activités ;

• De gestion, d’administration et de maintenance des copieurs multifonction.

Annexe 4 contrat d’engagement : Domaine Numérique-SI

III/ Modalités de mise en œuvre

III-a/ Les responsables en charge des activités du domaine Numérique et SI s’engagent à mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable et transparente entre les communes et le service commun métropolitain, en portant une attention toute particulière à :

- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;

- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de plateformes applicatives et technologiques.

D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :

• Mettra en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de

premier niveau, la gestion des incidents et des demandes des utilisateurs ;

• Favorisera la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;

• Consolidera les infrastructures dans des salles informatiques sécurisées. La métropole se réserve la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24 7 jours/7 ou encore des besoins ponctuels de capacité.

III-b/ Les modes de fonctionnement :

Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la Commune et le service commun de la Métropole concernant le domaine Numérique et Systèmes d’Informations.

Annexe 4 contrat d’engagement : Domaine Numérique-SI

Technology Infrastructure Library), ISO 9001, CMMI (Capability Maturity Model for Integration), COBIT (Control Objectives for Information and Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes pratiques en matière de sécurité des SI).

DOCUMENTS DE REFERENCE

L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique par commune centré sur les services à la population : proximité, éducation, culture, citoyenneté, social, … Ce document intégrera également les projets métropolitains et transverses déployés sur la commune (ex. Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH ,…). Ce schéma, élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune et le service commun, constituera le document de référence pour planifier et suivre l’ensemble des projets numériques portés sur la commune au regard des moyens projets transférés (humains et financiers). Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises, l’université, les écoles et les associations.

GOUVERNANCE :

Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent contrat

d’engagement, il est proposé de mettre en place la comitologie suivante :

Comité numérique stratégique communal

• Participants :

o Pour la commune : Elu en charge du numérique (ou d’un représentant désigné par le Maire), des élus thématiques, selon les dossiers abordés, du Directeur Général des Services et des DGA concernés.

• Fréquence : annuel à bi-annuel

Comité de suivi du contrat d’engagement :

• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration éventuelle et

des nouveaux besoins à anticiper : nouveaux projets, nouveaux équipements, …

• Participants :

o Pour la commune : le Directeur Général des Services (ou son représentant), référent pour le suivi

du contrat d’engagement.

• Fréquence : trimestriel

Annexe 4 contrat d’engagement : Domaine Numérique-SI

Point d’avancement opérationnel :

• Objet : Suivi continu des activités liées au Numérique et aux SI pour la commune. La fréquence de ces points est en fonction du sous domaine traité (cf tableau des indicateurs et valeurs cible)

• Participant :

o Pour la commune : le Directeur Général des Services (ou son représentant), référent pour le suivi

du contrat d’engagement.

o Pour le service commun : directeur du sous domaine traité et le responsable en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition).

A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le

cadre des projets.

ROLES ET RESPONSABILITES

Rôles et responsabilités globales sur le domaine

Responsable pour le service commun Métropole

Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général du service

commun.

Responsable pour la Commune

Responsable du suivi du contrat d’engagement représentant le Directeur général des services et sous couvert de l’élu en

charge du numérique

Types de saisine

A- Co-construction de la stratégie numérique communale, gouvernance et sécurité

B- Réalisation des projets numériques de compétence communale

C- Fourniture des postes et environnements numériques de travail

/ assistance utilisateurs

D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information

Saisine ordinaire

Commune : Référent en charge du suivi du contrat d’engagement Métropole : Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la

phase de transition)

Commune : Chef de projet - maîtrise d’usage Métropole : Chef de projet service commun

Commune : utilisateur (élu, agent, citoyen, …) Métropole : Centre d’appel

Commune : Responsable applicatif métier

Métropole : Chefs de service de la Direction des Infrastructures et de la Production

Saisine en urgence

Commune : DGA de la commune

Commune : Directeur métier

Commune : Chef de

service de l’utilisateur

Commune : Chef de service en charge de l’application

Annexe 4 contrat d’engagement : Domaine Numérique-SI

	Métropole : Adjoints au Directeur Général du service commun.	Métropole : Directeur des programmes numériques concerné	Métropole : Chef de service centre d’appel et pilotage	Métropole : Directeur des Infrastructures et de la Production
Saisine exceptionnelle	Commune : DGS Métropole : Directeur Général du service commun.	Commune : Directeur Général des Services Métropole : Adjoint DG en charge des	Commune : Directeur en charge de l’utilisateur Métropole : Directeur	Commune : Directeur en charge de l’application Métropole : Adjoint au
		programmes	de l’assistance et de	DG en charge de la
		numériques	l’offre de service	Stratégie et des SI

Annexe 4 contrat d’engagement : Domaine Numérique-SI

IV/ Les engagements de service

IV-a/ Engagements de service généraux et priorités

Les engagements de services reposent sur une relation de confiance forte et un fonctionnement en toute transparence avec le service commun.

Les points prioritaires identifiés par la commune en matière de numérique et de SI sont les suivants :

• Garantir la réactivité en matière d’intervention et d’assistance aux utilisateurs communaux ;

• Garantir une assistance aux élus et à la Direction Générale par des interlocuteurs spécifiques (pas d’appel sur un centre d’appel) ;

• Garantir la proximité notamment par la présence effective de l’équivalent d’1 ETP sur site

durant les heures de fonctionnement de la mairie ;

• Poursuivre le développement de nouveaux projets à destination des citoyens et de la performance interne de la collectivité (mise en place de nouveaux services, modernisation des équipements).

Annexe 4 contrat d’engagement : Domaine Numérique-SI

IV-b/ Les indicateurs et valeurs cible

Sous-domaine de mutualisation

Engagements de service

du domaine Numérique et

systèmes d’informations

Indicateurs

(Définition/

Mode de calcul de l’indicateur)

Périodicité de suivi

Source de suivi

(ex : SI…)*

Niveau de service constaté

(et volumétrie correspondante)

Conditions de réalisation de l’engagement

A. Co-construction de la stratégie Numérique communale, Gouvernance et Sécurité

Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la commune

Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma Numérique communal (sur 3 ans)

Annuelle

Livrable

Non formalisé, un travail conjoint sera mené pour consolider les projets envisagés pour 2016 avant de travailler à un schéma pluriannuel pour les années

suivantes

Engagement 1.2 :

Maitriser les risques liés aux

systèmes d’information

Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la base de la norme

ISO 27001

Annuelle

Audit

Non formalisé, un diagnostic de l’existant sera proposé afin de disposer d’une situation partagée lors du transfert des activités.

B. Réalisation des projets numériques de compétence communale

Engagement 2.1 :

Réaliser les projets conformément aux priorités partagées et définies au schéma numérique communal

Indicateur 2.1 : Charge consacrée aux projets

Mensuelle ou trimestrielle

Outil de gestion de projets

110 j/h consacrés chaque année aux projets

Engagement 2.2 : Maintenir les applications métiers du système

d’information de la commune

Indicateur 2.2 : Etendue du parc applicatif maintenu

Annuelle

Outil gestion de projet

Inventaire du parc applicatif transféré annexé à la convention

C. Fourniture des postes et environnements numériques de travail

/ assistance utilisateurs

Engagement 3.1 :

Assurer le renouvellement des postes et environnements

numérique de travail (PENT)

Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels

Annuelle

Inventaire du parc des PENT

15% par an pour les postes mairie 20% par an pour les postes des écoles

Engagement 3.2 : Maintenir les horaires d’ouverture du service d’assistance /support de la

commune

Indicateur 3.2.1 : Heures d’ouvertures de l’assistance / support sur le niveau 1

Annuelle

Données d’exploitation du service

Assistance sur les horaires d’ouverture de la Mairie : Lundi : 8h30 – 18h30 et du jeudi au Vendredi : 8h30 – 17h00

Engagement 3.3 :

Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais

Indicateur 3.3.1 :

Délai de traitement des demandes

Mensuelle ou trimestrielle

Centre d’assistance et de support utilisateurs

Non mesuré actuellement, à calculer sur la base de

l’existant, un objectif sera défini conjointement pendant

l’année 2016

Indicateur 3.3.2 :

Délai de résolution des incidents par

criticité

Non mesuré actuellement, à calculer sur la base de

l’existant, un objectif sera défini conjointement pendant

l’année 2016

Annexe 4 contrat d’engagement : Domaine Numérique-SI

D. Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information

Engagement 4.1 :

Assurer la disponibilité et la continuité de service des applications et services métiers

critiques

Indicateur 4.1. :

Délai de remise en service

Mensuelle ou trimestrielle

Direction des infrastructures et de la production

Non mesuré actuellement, à calculer sur la base de l’existant, un objectif sera défini conjointement pendant l’année 2016

Engagement 4.2 :

Assurer le stockage et la conservation des données et des informations de la commune

Indicateur 4.2.1 :

Délais de restauration

Annuelle

Direction des infrastructures et de la production

Selon le support de sauvegarde entre ½ heure et 1 jour

Indicateur 4.2.2 :

Durée maximum d’enregistrement des données qu’il est acceptable de

perdre

Pour les serveurs de fichiers : ½ journée Pour les données applicative : 1 journée

*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de satisfaction, certification…). Cf article 2 du contrat

d’engagement.

Annexe 4 contrat d’engagement : Domaine Numérique-SI

V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement »

Contexte

Le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », entre directement en vigueur au sein de chaque état membre de l’Union Européenne le 25 mai 2018. Il vise à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel. Ce règlement renforce notamment :

- Le marché commun de l’économie numérique, en harmonisant les législations des états

membres.

- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant un véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de nouveaux droits tels que la portabilité des données, permettant de faire transférer ses données d’une entreprise à l’autre.

- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de

« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de

« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.

V-a/ Définitions

En conformité avec les textes applicables il est défini que :

- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :

o directement (nom prénom, photo, e-mail nominatif…)

o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)

Annexe 4 contrat d’engagement : Domaine Numérique-SI

- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine

les finalités et les moyens d’un traitement de données à caractère personnel considéré.

- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les

finalités et les moyens d’un tel traitement.

- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de traitement résumées comme suit :

1. Principe de licéité, de loyauté, de transparence du traitement

2. Principe de finalité déterminée, explicite, légitime de chaque traitement

3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré

4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin

ou leur suppression

5. Principe d’information des personnes dont les données sont traitées

6. Principe de sécurité et de confidentialité des données traitées

7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.

Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale

Informatique et Libertés)

V-b/ RGPD- Principes et responsabilités

Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants,

susceptibles d’être conjointement engagées.

En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe

Annexe 4 contrat d’engagement : Domaine Numérique-SI

d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur

réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.

Responsabilités communes aux responsables de traitement et sous-traitants

- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des traitements de données à caractère personnel (principe d’accountability).

Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.

Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.

Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données

collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…

Responsabilités propres au « responsable de traitement »

Annexe 4 contrat d’engagement : Domaine Numérique-SI

Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au

sous-traitant qui ne doit agir que sur ordre du responsable de traitement.

Responsabilités propres au « sous-traitant »

Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour

attester de la conformité et pour permettre la réalisation d’audits.

Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du

traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.

Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.

Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.

V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information

Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun des traitements de données à caractère personnel mis en œuvre pour son compte.

o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,

o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,

Annexe 4 contrat d’engagement : Domaine Numérique-SI

o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le

système d’information commun, sans qu’elle en ait défini les finalités et les moyens.

Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le

Centre communal d’action sociale de cette ville.

Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.

Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des

données à caractère personnel.

D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection des données, tout au long de la mise en œuvre des traitements

Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de

« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant mutualisé son système d’information (à défaut, son interlocuteur est le DGS).

V-d/Les obligations spécifiquement souscrites

Les engagements constituant le « socle commun » à toutes les communes, membres du système

d’information mutualisé

- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)

Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les informations relatives aux prestataires concernés et au contenu des engagements souscrits.

Annexe 4 contrat d’engagement : Domaine Numérique-SI

- La gestion des demandes des personnes concernées, hors information concernant les violations de données

Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.

- L’information des usagers concernant les « violations de données »

La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.

Annexe 4 contrat d’engagement : Domaine Numérique-SI

- La désignation du DPO

En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à compter du 25 mai 2018.

La commune a souhaité mutualiser cette fonction avec Bordeaux Métropole. Elle désigne dans les formes requises et avec son accord le DPO concerné. Elle définit dans la lettre de mission qu’elle lui notifie les modalités lui permettant d’assurer sa mission sur le périmètre de la totalité des traitements communaux.

V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD

L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère

personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :

V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein d’un

« projet numérique » commandé via le service commun DGNSI

- étude et conseil

- conduite de projet

- maintenance applicative

Avec l’objectif d’une administration totalement dématérialisée pour 0000 xx xxxxx x x’xxxxxxxxxx

0000-0000 imposant la saisine de l’administration par voie électronique, la part des projets de marchés

Annexe 4 contrat d’engagement : Domaine Numérique-SI

d’acquisition, de fourniture, de services ou de travaux, ainsi que la part des délégations de service public, qui comprennent un fort volet numérique, ne cesse de croître. Pour autant ces projets ne constituent pas nécessairement, à titre principal, des projets numériques traités par la DGNSI.

V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable du DPO

Les services communaux ou les services communs peuvent envisager :

- la création directe de nouveaux traitements (projets de traitements bureautiques, utilisation

de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).

V-f/Application du droit à l’effacement

La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement

consiste :

V-f/1- soit en l'effacement des données personnelles elles-mêmes

Annexe 4 contrat d’engagement : Domaine Numérique-SI

V-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes concernées

V-g/ Gouvernance

V-h/ Auditabilite

Annexe 4 contrat d’engagement : Domaine Numérique-SI

Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents

(registre des traitements, registre des violations de sécurité, documentation technique…) afférents.

L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter

la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.

V-i/Sensibilisation des personnels

Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes

d’information.

Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de

sensibilisation requis pour la bonne application du RGPD.

V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole

Ces règles et processus standard sont notamment destinées à permettre la bonne application du RGPD et une bonne sécurité du système d’information.

Annexe 4 contrat d’engagement : Domaine Numérique-SI

V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du

présent avenant

Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son registre.

Avenant n°2

Contrat d’engagement entre Bordeaux Métropole et la commune de Blanquefort

Règlement général pour la protection des données (RGPD)

Entre

Bordeaux Métropole représentée par son Président dûment habilité par délibération n° du

…………….2018, Monsieur Xxxxx Xxxxx, ci-après dénommée "Bordeaux Métropole",

d'une part,

Et

La commune de Blanquefort représentée par son Maire, Madame Xxxxxxxxx Xxxxxxxx, dûment habilité par délibération n°……………. du 2018, ci-après dénommée "la commune de Blanquefort",

d'autre part,

VU le contrat d’engagement signé en date du 15 février 2016 par Monsieur Xxxxx Xxxxx, Président de Bordeaux

Métropole et Madame Xxxxxxxxx Xxxxxxxx, Maire de Blanquefort.

VU l’avenant n°1 au contrat d’engagement signé le 8 juin 2017 par M. Xxxxx Xxxxx, Président de Bordeaux Métropole et, Madame Xxxxxxxxx Xxxxxxxx, Maire de Blanquefort,

VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la

protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :

- chaque administration désigne un « délégué à la protection des données » ;

Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole,

l’application du RGPD implique simultanément les responsabilités :

Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte

Considérant la volonté des parties, de réviser les niveaux de services en application de

l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,

Il est convenu et arrêté ce qui suit dans le présent avenant :

ARTICLE 1 : OBJET

Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.

« chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les moyens opérationnels et organisationnels mis en place pour optimiser la sécurité du système d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées. En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.

Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux

termes du contrat d’engagement.

ARTICLE 2 : MODIFICATION DES ANNEXES

L’annexe du domaine concerné par ces révisions de niveaux de services est :

Domaines	Objet de l’avenant
Numérique et systèmes d’information	Règlement général pour la protection des données

Cette annexe est modifiée et remplace celle établie précédemment.

ARTICLE 3 :

Les autres articles et annexes au contrat d’engagement restent inchangés.

ARTICLE 4 :

Cet avenant entre en vigueur au 1er juillet 2018.

Fait à Bordeaux, le , en deux exemplaires.

Pour la Métropole, Pour la commune,

Le Président, Le Maire,

Xxxxx Xxxxx Xxxxxxxxx Xxxxxxxx

ANNEXES

- Numérique et système d’information

ANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION – CONTRAT D’ENGAGEMENT

COMMUNE DE BLANQUEFORT

Propos liminaire à l’ensemble du domaine Numérique et Systèmes

d’Information

Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune et de contrats d’engagement objet du présent document.

DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION

SOUS-DOMAINES :

A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE

B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE

C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS

D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS OPERATIONNELLES DES

SYSTEMES D’INFORMATION

I/ Moyens consacrés par la commune au domaine Numérique et systèmes d’information

II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes d’Information

Activités mutualisées par la Commune (y compris le CCAS)

A- Co-construction de la stratégie numérique communale, gouvernance et sécurité

• Animation de la veille technologique et de l’innovation au service des métiers

o Des projets propres à la commune ;

o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numérique en ligne, télé services, …)

o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement

numérique du territoire, RH, Finances, …).

• Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS

Pour l’année 2017, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent. Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2017.

• Gestion de la cartographie consolidée du système d’information intégré en cohérence

avec le schéma d’urbanisation numérique et SI des services communs.

• Définition et contrôle de mise en œuvre des méthodes qualité et des normes applicables au domaine numérique et système d’information

• Elaboration de la politique de sécurité des systèmes d’information

• Management de la sécurité de l’information, gestion des risques, audits et conformité

• Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant

B- Réalisation des projets numériques de compétence communale

Etudes et conseil :

• Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue

• Pré-étude d’avant-projet

• Expertise

Conduite des projets :

• Pilotage et management des projets en lien avec les maitrises d’usage

• Etudes, conception et spécifications

• Passation et exécution des marchés

• Réalisation, développements et paramétrage

• Qualification, recette, intégration et pré-production

• Mise en production et déploiement

• Accompagnement au changement et formation

• Bilan de projet

Maintenance applicative :

• Maintenance corrective et réglementaire

• Maintenance évolutive

C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1)

• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail

standardisé

• Gestion du parc de matériel

• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail

• Assistance aux utilisateurs (agents, élus et publics identifiés) :

o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI

o Résolution et clôture du ticket

• Formation des utilisateurs en matière de poste et environnement numérique de travail (en lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation)

• Suivi des interventions et tableaux de bord

D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes

d’information (2)

Audit, conseil et conception des infrastructures

• Audit et conseil

• Ingénierie

• Mise en place, administration des infrastructures informatique et des réseaux

Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information

• Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un

prestataire hébergeur

• Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…)

• Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés

et des infrastructures

• Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des

engagements

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité)

Hébergement, exploitation et maintien en condition opérationnelle des réseaux

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures et équipements (éléments

actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des

réseaux GFU, WIFI privés et publics

• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,

• Les applications indispensables au fonctionnement du terminal (systèmes d’exploitation, licences matérielles et d’environnements, …),

• Les outils bureautiques et collaboratifs dont mail,

• Les services d’impression et de numérisation : individuels et collectifs,

• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),

• L’accès à internet et les abonnements de données éventuels,

• Les services de sécurisation du poste, de stockage et de sauvegarde,

• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou incidents.

(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser progressivement avec la direction

des bâtiments le cas échéant.

III/ Modalités de mise en œuvre

- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;

- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de plateformes applicatives et technologiques.

D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :

• Met en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de

premier niveau, la gestion des incidents et des demandes des utilisateurs ;

• Favorise la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuie une offre de service applicative partagée ;

• Définit une offre de service s’appuyant sur des standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, ….). Il s’agit également de mettre en place des outils et processus d’intervention qui s’inspirent des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;

• Consolide les infrastructures dans des salles informatiques sécurisées. La métropole se réserve ainsi la possibilité d’une externalisation partielle du système d’information, permettant d’intégrer des niveaux de service contraints, 24h/24 7 jours/7 ou encore des besoins ponctuels de capacité.

L’ensemble de cette dynamique s’appuyant sur une approche basée sur des points de rencontre réguliers :

- qu’en format coopératif : entre les communes ayant fait le choix de la mutualisation et le service commun.

III-b/ Les modes de fonctionnement :

DOCUMENTS DE REFERENCE

GOUVERNANCE :

Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent contrat

d’engagement, il est proposé de mettre en place la comitologie suivante :

Comité numérique communal

• Objet : Arbitre et valide le schéma numériques de commune. Assure son suivi stratégique et son évaluation. Assure les arbitrages éventuellement nécessaires en matière de contrat d’engagement.

• Participants :

o Pour la commune : Sous la présidence du Maire et/ou de l’élu numérique de la commune

entouré(s) de la Dir Générale, des directions concernées

o Pour le service commun : le référent communal (DSI actuel pendant la phase de transition), le Directeur Général en charge du service commun, la Direction de la transformation Numérique, un représentant pour chacun des 3 domaines d’activités de la Direction Générale.

• Fréquence : bi-annuel

Revues des contrats d’engagements :

• Le numérique s’inscrit pleinement dans la dynamique globale de suivi et de pilotage des contrats d’engagement mis en place entre Bordeaux Métropole et la commune pour le suivi de l’ensemble des domaines mutualisés.

Réunion thématique numérique :

• Objet : Assure le suivi opérationnel du contrat et des difficultés quotidiennes éventuelles, permets de porter de premiers arbitrage en lien avec l’offre de service, veille au respect des indicateurs. Le cas échéant propose de pistes d’amélioration. Assure le suivi consolidé des projets concernant la commune.

• Participants :

o Pour la commune : référent pour le suivi du contrat d’engagement.

o Pour le service commun : Référent communal (DSI actuel pendant la phase de transition).

• Fréquence : tous les mois

A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le cadre des projets. D’une manière générale le chef de projet du service commun et le chef de projet maître d’usage managent le projet en conformité avec les bonnes pratiques de la profession. Par exemple, ils préparent au démarrage d’un projet, une note de cadrage qui permet de cadrer les modalités de la collaboration :

• Objectifs du projet ;

• Gains attendus, du retour sur Investissement, et des indicateurs de gains qualitatifs ou quantitatifs attendus, retour sur les coûts et charges d'une part, les bénéfices attendus d'autre part ;

• Plan de financement du projet (et impact notamment sur l’AC en cas de projet de

croissance du périmètre mutualisé) ;

• Dispositif de gestion du changement, d'accompagnement des utilisateurs dans les évolutions des processus de leur métier.

ROLES ET RESPONSABILITES

Rôles et responsabilités globales sur le domaine

Référent communal

Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de

transition) représentant le Directeur général du service commun.

Responsable pour la commune

Responsable du suivi du contrat d’engagement représentant

le Directeur général des services et sous couvert de l’élu en

charge du numérique

Types de saisines	A- Co-construction de la stratégie numérique communale, gouvernance et sécurité	B- Réalisation des projets numériques de compétence communale	C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs	D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information
Saisine ordinaire	Commune : Référent en charge du suivi du contrat d’engagement Service commun : Référent communal (DSI actuel pendant la phase de transition)	Commune : Chef de projet - maîtrise d’usage Service commun : Chef de projet service commun	Commune : utilisateur (élu, agent, citoyen, …) Service commun : Centre d’appel	Commune : Responsable applicatif métier Service commun : Chefs de service de la Direction des Infrastructures et de la Production
Saisine en urgence	Commune : Directeur Général Adjoint de la commune Service commun :	Comitologie projets spécifique	Commune : Chef de service de l’utilisateur Service commun : Chef de service	Commune : Chef de service en charge de l’application Service commun :
	Adjoints au Directeur		centre d’appel et	Directeur des
	Général du service		pilotage	Infrastructures et de
	commun.			la Production
Saisine exceptionnelle	Commune : Directeur Général des Services Service commun : Directeur Général du		Commune : Directeur en charge de l’utilisateur Service commun :	Commune : Directeur en charge de l’application Service commun :
	service commun.		Directeur de	Adjoint au Directeur
			l’assistance et de	Général en charge de
			l’offre de service	la Stratégie et des
				Systèmes
				d’Information

IV/ Les engagements de service

IV-a/ Engagements de service généraux et priorités

Les principales priorités / dossiers prioritaires en matière de numérique et de Systèmes

d’Information sont les suivants :

1- PRA

Nature

Actuellement, le plan de reprise d’activité est insuffisant, même si les sauvegarde journalières sont présente est répliqué sur des NAS, nous sommes dans l’incapacité de faire une reprise d’activité de notre système d’information sans acheter et remonter les VM sur de nouveaux serveurs.

Objet

Consolider le système de sauvegarde actuel, externaliser l’intégralité des sauvegardes sur des serveurs de virtualisation

distant afin de permettre une reprise d’activité en moins de 8H

Enjeux

Enjeux majeur en cas de sinistre ou de panne majeure sur les serveurs de la collectivité.

2- Site Internet

Nature

Le site Internet de la Ville de Blanquefort a été développé en 2009, entièrement en interne par l’équipe de la communication, sur le CMS Joomla 1.5. Le contenu éditorial a évolué avec les pratiques, mais pas le volet technique. Aujourd’hui, ce site est vieillissant, donc peu interactif, et soumis aux attaques car peu sécurisé, en partie du fait de la version obsolète du Joomla. Sa nécessité d’évoluer trouve également sa cohérence dans les 16 000 connexions par mois qu’il engendre. En cohérence avec la politique de e-communication et avec la politique numérique en général sur tout le territoire, la commune souhaite refondre totalement ce service public incontournable.

Objet

La demande de la Ville de Blanquefort concerne la refonte technique du site Internet, sur la base du cahier des charges rédigé et validé par la Ville : mise en place d’un marché, choix du CMS, mise en production. Le tout en collaboration permanente avec la Direction de la communication et de l’administration numérique, en charge du contenu éditorial, et de façon générale, pilote du projet.

Enjeux

L’idée est de mettre à disposition des citoyens un site Internet remplissant ses fonctions premières de service public : démarches pratiques, services en ligne. La Ville souhaite se doter d’un outil à jour avec les normes de sécurité et d’accessibilité. Le site devra être responsive, interactif, et supporter des contenus multimédias variés : l’idée étant de faire de ce support à la fois un outil de service public de proximité, mais aussi un relai d’information sur le territoire.

3- Migration PABX

Nature

Le PABX de type intégral 55 assurant l’acheminement des lignes téléphonique analogique et IP ne sera plus supporté fin 2017. En 2013 nous avons fait l’acquisition avec le CCAS d’un nouveaux PABX ( ip office) et entamé une migration partielle des poste de la collectivité dessus ( 79 postes /165)

Objet

Afin d’anticiper la fin du support de l’intégral 55, il est nécessaire de finaliser la migration déjà engagée vers le nouveau système de téléphonie.

Enjeux

Enjeux fonctionnel important en cas de panne sur l’ancien PABX qui ne sera plus supporté

4- Dématérialisation de la chaine comptable

Cette année, nous mettons en œuvre la dématérialisation des pièces justificatives ainsi que des factures. Le changement

organisationnel étant d’envergure, la dématérialisation des bons de commande ne pourra et devra se faire en 2017. Dans l’optique de l’obligation légale à CHORUS Facture au 1er janvier 2017, un projet de dématérialisation de la chaine comptable a été engagé depuis le passage au PES V2.

Cette année, nous mettons en œuvre la dématérialisation des pièces justificatives ainsi que des factures. Le changement organisationnel étant d’envergure, la dématérialisation des bons de commande ne pourra et devra se faire en 2017.

IV-b/ Les indicateurs et valeurs cibles

Sous-domaines de mutualisation

Engagements de service

du domaine Numérique et

systèmes d’information

Indicateurs

(Définition/Mode de calcul de

l’indicateur)

Périodicité de suivi

Source de suivi*

Niveau de service constaté

(et volumétrie correspondante)

Conditions de réalisation de l’engagement

(pré-requis)

A. Co- construction de la stratégie Numérique communale, Gouvernance et Sécurité

Engagement 1.1 : Produire et actualiser un plan d’actions pluriannuel pour la

commune

Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma Numérique communal (sur 3 ans)

Annuelle

Livrable

Non formalisé, un travail conjoint sera mené pour consolider les projets envisagés pour 2017 avant de travailler à un schéma pluriannuel pour les années suivantes.

Engagement 1.2 : Maitriser les risques liés aux systèmes

d’information

Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la

base de la norme ISO 27001

Annuelle

Audit

Non formalisé, un diagnostic de l'existant sera proposé afin de disposer d'une situation partagée lors du transfert des activités

B. Réalisation des projets numériques de compétence communale

Engagement 2.1 : Réaliser les projets conformément aux priorités partagées et définies au schéma

numérique communal

Indicateur 2.1.1 : Charge consacrée aux projets

Mensuelle ou trimestrielle

Outil de gestion de projets

30 j*h consacrés chaque année aux projets

Engagement 2.2 : Maintenir les applications métiers du système d’information

de la commune

Indicateur 2.2.1 : Etendue du parc applicatif maintenu

Annuelle

Outil gestion de projet

L’ensemble des progiciels métiers font l’objet d’un contrat de maintenance est sont donc maintenus (cf. inventaire du parc applicatif transféré annexé à la convention)

C. Fourniture des postes et environnements numériques de travail / assistance

utilisateurs

Engagement 3.1 : Assurer le renouvellement des postes et environnements numérique de travail

(PENT)

Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels

Annuelle

Inventaire du parc des PENT

20% des postes de travail sont renouvelés chaque année. Renouvellement concernant l’infrastructure ou les progiciels font l’objet de projets spécifiques

Engagement 3.2 : Maintenir les horaires d’ouverture du service d’assistance /support de

la commune

Indicateur 3.2.1 : Heures d’ouvertures de l’assistance / support sur le niveau 1

Annuelle

Données d’exploitation du service

Assistance du lundi au vendredi de 9h à 12h puis de 13h30 à 17h30

Engagement 3.3 : Assurer la prise en compte de la demande ou de l’incident dans les meilleurs délais

Indicateur 3.3.1 :

Délai de prise en compte des demandes

Mensuelle ou trimestrielle

Centre d’assistance et de support utilisateurs

Non mesuré actuellement, à calculer sur la base de l'existant, un objectif sera défini un objectif sera défini conjointement pendant

l’année 2017.

Indicateur 3.3.2 :

Délai de résolution des incidents par criticité

4 heures pour les incidents bloquant, jusqu’à 2 jours pour les incidents non bloquant

D. Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information

Engagement 4.1 : Assurer la disponibilité et la continuité de service des applications et services métiers critiques

Indicateur 4.1.1 :

Délai d’intervention

Mensuelle ou trimestrielle

Centre d’assistance/ support utilisateurs + direction des infrastructures et de la

production

Cf. délais de résolution des incidents

Indicateur 4.1.2 :

Délai de remise en service

1 journée

Engagement 4.2 : Assurer le stockage et la conservation des données et des informations de la commune

Indicateur 4.2.1 :

Délais de restauration

Annuelle

Direction des infrastructures et de la production

½ journée

Indicateur 4.2.2 : Durée maximum d’enregistrement des

données qu’il est acceptable

de perdre

1 journée

*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de satisfaction, certification…). Cf article 2 du contrat

d’engagement.

La production de ces indicateurs est soumise à l’existence et la mise à disposition des données permettant leur calcul.

Une étude de faisabilité sera réalisée et partagée avec la commune lors des 1ères revues de contrat d’engagement afin de préciser les modalités et les délais

de livraison des différents indicateurs contractualisés des services communs.

V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement »

Contexte

- Le marché commun de l’économie numérique, en harmonisant les législations des états

membres.

- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de

« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de

« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.

V-a/ Définitions

En conformité avec les textes applicables il est défini que :

- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :

o directement (nom prénom, photo, e-mail nominatif…)

o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)

- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine

les finalités et les moyens d’un traitement de données à caractère personnel considéré.

- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les

finalités et les moyens d’un tel traitement.

- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de

traitement résumées comme suit :

1. Principe de licéité, de loyauté, de transparence du traitement

2. Principe de finalité déterminée, explicite, légitime de chaque traitement

3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré

4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin

ou leur suppression

5. Principe d’information des personnes dont les données sont traitées

6. Principe de sécurité et de confidentialité des données traitées

7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.

Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale Informatique et Libertés)

V-b/ RGPD- Principes et responsabilités

Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants,

susceptibles d’être conjointement engagées.

En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe

d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur

réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.

Responsabilités communes aux responsables de traitement et sous-traitants

- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des

traitements de données à caractère personnel (principe d’accountability).

Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.

Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.

Responsabilités propres au « responsable de traitement »

Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au

sous-traitant qui ne doit agir que sur ordre du responsable de traitement.

Responsabilités propres au « sous-traitant »

Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour

attester de la conformité et pour permettre la réalisation d’audits.

Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.

Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.

Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.

V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information

Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun des traitements de données à caractère personnel mis en œuvre pour son compte.

o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,

o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,

o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le

système d’information commun, sans qu’elle en ait défini les finalités et les moyens.

Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le

Centre communal d’action sociale de cette ville.

Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.

Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des données à caractère personnel.

D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection

des données, tout au long de la mise en œuvre des traitements

Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de

« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant

mutualisé son système d’information (à défaut, son interlocuteur est le DGS).

V-d/Les obligations spécifiquement souscrites

Les engagements constituant le « socle commun » à toutes les communes, membres du système

d’information mutualisé

- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)

Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les

informations relatives aux prestataires concernés et au contenu des engagements souscrits.

- La gestion des demandes des personnes concernées, hors information concernant les violations de données

Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.

- L’information des usagers concernant les « violations de données »

La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.

- La désignation du DPO

En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à compter du 25 mai 2018.

V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD

L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère

personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :

V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein d’un

« projet numérique » commandé via le service commun DGNSI

- étude et conseil

- conduite de projet

- maintenance applicative

Avec l’objectif d’une administration totalement dématérialisée pour 0000 xx xxxxx x x’xxxxxxxxxx

0000-0000 imposant la saisine de l’administration par voie électronique, la part des projets de marchés

V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable du DPO

Les services communaux ou les services communs peuvent envisager :

- la création directe de nouveaux traitements (projets de traitements bureautiques, utilisation de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).

V-f/Application du droit à l’effacement

La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement

consiste :

V-f/1- soit en l'effacement des données personnelles elles-mêmes

V-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes concernées

V-g/ Gouvernance

Les instances de gouvernance de la sécurité du système d’information mutualisé, décrites au sein de la PGSSI , qui est jointe au référentiel de documents d’aborder les questions liées à la mise en œuvre du RGPD. Trois instances y sont identifiées (comité stratégique de sécurité, comité de pilotage de la sécurité, comité de suivi des actions récurrentes de sécurité).

V-h/ Auditabilite

Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents (registre des traitements, registre des violations de sécurité, documentation technique…) afférents.

L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter

la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.

V-i/Sensibilisation des personnels

Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes d’information.

Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de sensibilisation requis pour la bonne application du RGPD.

V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole

Ces règles et processus standard sont notamment destinées à permettre la bonne application du RGPD

et une bonne sécurité du système d’information.

V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du

présent avenant

Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son registre.

Avenant n°3

Contrat d’engagement

entre Bordeaux Métropole et la commune de Bordeaux

Règlement général de protection des données (RGPD)

Entre

Bordeaux Métropole représentée par son Président, Monsieur Xxxxx Xxxxx, dûment habilité par délibération, n° ………… du 2018,

d'une part,

Et

La commune de Bordeaux représentée par son Maire-adjoint, Monsieur Xxxxxxx Xxxxxxx, dûment habilité par délibération n°………….. du 2018,

VU le contrat d’engagement signé en date du 15 février 2016 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxx, Maire-adjoint de Bordeaux.

VU l’avenant n°1 au contrat d’engagement signé en date du 23 avril 2018 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxx, Maire-adjoint de Bordeaux.

VU l’avenant n°2 au contrat d’engagement signé en date du 23 avril 2018 par Monsieur Xxxxx Xxxxx, Président de Bordeaux Métropole et Monsieur Xxxxxxx Xxxxxxx, Maire-adjoint de Bordeaux.

VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :

- chaque administration désigne un « délégué à la protection des données » ;

- tous les acteurs intervenant sur un même traitement de données à caractère

personnel, qu’ils aient la responsabilité de « responsable de traitement », de

« responsable conjoint de traitements » ou de « sous-traitants » au sens du RGPD, organisent contractuellement la répartition des obligations qu’il définit.

Considérant que dans le contexte de la mutualisation des services de Bordeaux

Métropole, l’application du RGPD implique simultanément les responsabilités :

- de la commune membre du service commun de la Direction Générale du Numérique

et des Systèmes d’Information (DGNSI), qui conserve légalement la qualité de

« responsable de traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le système d’information de Bordeaux Métropole pour son compte ;

« sous-traitant » au sens de ce texte.

Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte.

Considérant la volonté des parties, de réviser les niveaux de services en application de

l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,

Il est convenu et arrêté ce qui suit dans le présent avenant :

ARTICLE 1 : OBJET

Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune.

Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux

termes du contrat d’engagement.

ARTICLE 2 : MODIFICATION DES ANNEXES

L’annexe du domaine concerné par ces révisions de niveaux de services est :

Domaines	Objet de la révision de niveaux de services
Numérique et systèmes d’information	Règlement général pour la protection des données

Cette annexe est modifiée et remplace celle établie précédemment.

ARTICLE 3 :

Les autres articles et annexes au contrat d’engagement et ses avenants restent inchangés.

ARTICLE 4 :

Cet avenant entre en vigueur au 9 juillet 2018.

Fait à Bordeaux, le , en trois exemplaires.

Pour Bordeaux Métropole, Le Président,

Xxxxx Xxxxx

Pour la commune de Bordeaux, Le Maire-adjoint,

Xxxxxxx Xxxxxxx

ANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION – CONTRAT D’ENGAGEMENT

COMMUNE DE BORDEAUX

Propos liminaire à l’ensemble du domaine Numérique et Systèmes d’Information

Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas numériques de chaque commune et de contrats d’engagement objet du présent document.

DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION

A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE, GOUVERNANCE ET SECURITE

B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE

C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE TRAVAIL / ASSISTANCE UTILISATEURS

D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS

OPERATIONNELLES DES SYSTEMES D’INFORMATION

I/ Moyens consacrés par la commune au domaine Numérique et systèmes

d’informations

Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information sont détaillés dans la convention de création des services communs liée au contrat d’engagement. Les objectifs poursuivis par la Métropole et la Commune dans le cadre de ce contrat seront définis au regard des moyens inscrits dans les conventions.

II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes

d’Informations

Activités mutualisées par la Commune et le Centre Communal d’Action Sociale

(CCAS)

A- Co-construction de la stratégie numérique communale, gouvernance et sécurité

• Animation de la veille technologique et de l’innovation au service des métiers

o Des projets propres à la commune ;

o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numériques en ligne, télé services, …)

o Des projets métropolitains ou mutualisés déployés sur la commune (ex.

aménagement numérique du territoire, RH, Finances, …).

• Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS

Pour l’année 2016, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent.

Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016.

• Animation du rayonnement et des événements numériques majeurs (ex : Semaine Digitale)

• Gestion de la cartographie consolidée du système d’information intégré en cohérence avec le schéma d’urbanisation numérique et SI des services communs.

• Définition et contrôle de mise en œuvre des méthodes qualité et des normes

applicables au domaine numérique et système d’information

• Elaboration de la politique de sécurité des systèmes d’information

• Management de la sécurité de l’information, gestion des risques, audits et

conformité

• Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant

B- Réalisation des projets numériques de compétence communale

Etudes et conseil :

• Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue

• Pré-étude d’avant-projet

• Expertise

Conduite des projets :

• Pilotage et management des projets en lien avec les maitrises d’usage

• Etudes, conception et spécifications

• Passation et exécution des marchés

• Réalisation, développements et paramétrage

• Qualification, recette, intégration et pré-production

• Mise en production et déploiement

• Accompagnement au changement et formation

• Bilan de projet

Maintenance applicative :

• Maintenance corrective et réglementaire

• Maintenance évolutive

C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs (1)

• Conception, préparation et mise à disposition d’un poste et d’un environnement de

travail standardisé

• Gestion du parc de matériel

• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail

• Assistance aux utilisateurs (agents, élus et publics identifiés) :

o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI

o Résolution et clôture du ticket

• Formation des utilisateurs en matière de poste et environnement numérique de

travail (en lien avec le service RH en charge de l’ingénierie et l’animation du

dispositif de formation)

• Suivi des interventions et tableaux de bord

D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des

systèmes d’information (2)

Audit, conseil et conception des infrastructures

• Audit et conseil

• Ingénierie

• Mise en place, administration des infrastructures informatique et des réseaux

Hébergement, exploitation et maintien en condition opérationnelle des systèmes

d’information

• Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un

prestataire hébergeur

• Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs,

virtualisation…)

• Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs

hébergés et des infrastructures

• Contractualisation et pilotage des prestations d’hébergements externalisés et suivi

des engagements

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité)

Hébergement, exploitation et maintien en condition opérationnelle des réseaux

• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication

• Maintien en conditions opérationnelles des infrastructures et équipements

(éléments actifs, bornes, fibre, …) et notamment exploitation / construction /

maintenance des réseaux GFU, WIFI privés et publics

• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties associées,

• Les applications indispensables au fonctionnement du terminal (systèmes

d’exploitation, licences matérielles et d’environnements, …),

• Les outils bureautiques et collaboratifs dont mail,

• Les services d’impression et de numérisation : individuels et collectifs,

• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile, smartphone, …),

• L’accès à internet et les abonnements de données éventuels,

• Les services de sécurisation du poste, de stockage et de sauvegarde,

• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou

incidents.

(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser

progressivement avec la direction des bâtiments le cas échéant.

III/ Modalités de mise en œuvre

- Prendre en compte et traiter les attentes numériques et SI de chaque commune dans le cadre des moyens transférés ;

- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de

plateformes applicatives et technologiques.

D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :

• Mettra en place un centre d’appel multicanal favorisant la prise en compte de l’assistance de premier niveau, la gestion des incidents et des demandes des utilisateurs ;

• Favorisera la convergence avec la construction progressive d’un socle partagé, consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;

• Définira une offre de service s’appuyant sur de nouveaux standards en matière d’équipements favorisant les nouveaux usages (collaboratif, mobilité, …). Il s’agira également de mettre en place des outils et processus d’intervention qui s’inspireront des bonnes pratiques issues du système de management de la qualité ITIL (Information Technology Infrastructure Library) ;

III-b/ Les modes de fonctionnement :

DOCUMENTS DE REFERENCE

L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique communal décliné par direction générale / politique publique et centré sur les services à la population : proximité, éducation, culture, citoyenneté, social, … Ce document intégrera également les projets métropolitains et transverses déployés sur la commune (ex. Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH ,…). Ce schéma,

élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune et le service commun, constituera le document de référence pour planifier et suivre l’ensemble des projets numériques portés sur la commune au regard des moyens projets transférés (humains et financiers).

GOUVERNANCE :

Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent

contrat d’engagement, il est proposé de mettre en place la comitologie suivante :

Comité numérique stratégique par thématique / politique publique

• Objet : Elabore, valide et porte le schéma numérique par thématique / politique publique, sa mise à jour annuelle et assure un point d’avancement à mi- année sur les projets prévus.

• Participants :

• Fréquence : annuel à bi-annuel

Comité de suivi du contrat d’engagement :

• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration éventuelle et des nouveaux besoins à anticiper : nouveaux projets, nouveaux équipements, …

• Participants :

o Pour la commune : le Directeur Général des Services (ou son représentant),

référent pour le suivi du contrat d’engagement.

• Fréquence : trimestriel

Point d’avancement opérationnel : Suivi continu des activités liées au Numérique et aux SI pour la commune conformément au rythme actuel.

A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en œuvre dans le cadre des projets.

ROLES ET RESPONSABILITES

Rôles et responsabilités globales sur le domaine

Responsable pour le service commun

Responsable du service commun en charge du contact avec la commune concernée (DSI actuel pendant la phase de transition) représentant le Directeur général

du service commun.

Responsable pour la commune

Responsable du suivi du contrat d’engagement

représentant le Directeur général des services et sous

couvert de l’élu en charge du numérique

Types de saisines

A- Co-

construction de la stratégie numérique communale, gouvernance et sécurité

B- Réalisation des projets numériques de compétence communale

C- Fourniture des postes et environnements numériques de travail / assistance utilisateurs

D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des systèmes d’information

Saisine ordinaire

Commune : Référent en charge du suivi du contrat d’engagement Service commun : Responsable du service commun en charge du contact avec la commune concernée (Direction des Systèmes d’information actuelle pendant

la phase de transition)

Commune : Chef de projet - maîtrise d’usage Service

commun : Chef de projet service commun

Commune : utilisateur (élu, agent, citoyen,

…)

Service commun

: Centre d’appel

Commune : Responsable applicatif métier Service

commun : Chefs de service de la Direction des Infrastructures et de la Production

Saisine en urgence

Commune : Direction générale adjointe de la commune Service

commun : adjoints au

Commune : Directeur métier Service commun : Directeur des

programmes

Commune : Chef de service de l’utilisateur Service

commun: Chef de service centre

Commune : Chef de service en charge de l’application Service

commun : Directeur des

	Directeur général du service commun.	numériques concerné	d’appel et pilotage	Infrastructures et de la Production
Saisine exceptionnelle	Commune : Directeur général des services Service commun :	Commune : Directeur général des services Service commun :	Commune : Directeur en charge de l’utilisateur Service	Commune : Directeur en charge de l’application Service
	Directeur général	Adjoint au	commun :	commun :
	du service	directeur général	Directeur de	Adjoint au
	commun.	en charge des	l’assistance et de	directeur général
		programmes	l’offre de service	en charge de la
		numériques		stratégie et des
				systèmes
				d’information

IV/ Les engagements de service

IV-a/ Les engagements de service généraux et priorités

Les principales priorités / dossiers prioritaires en matière de numérique et de SI sont les suivants :

La Ville de Bordeaux aborde depuis plusieurs années le développement du numérique à travers son agenda ‘Bordeaux Cité Digitale’ décliné en plusieurs axes qui ont en commun l’amélioration du cadre de vie de ses habitants, l’interaction avec une population de plus en plus connectée, nomade et multi-écrans, la transmission des savoirs, le lien social, l’attractivité du territoire pour ses entreprises, mais aussi la performance organisationnelle et économique de la municipalité. Il s’agira de poursuivre cette dynamique :

- au niveau e-éducation en poursuivant un ambitieux programme d’équipement d’outils numériques dans les écoles et d’accompagnement aux nouveaux usages pédagogiques et éducatifs qui s’en dégagent (apprentissage des langues, du code,

…),

- en matière de solidarité numérique en créant du lien entre les différentes entités de la ville déjà acteurs sur ce sujet mais également en développant des partenariats avec des associations afin de répondre aux enjeux du territoire

- sur les e-services en renforçant son action de développement de services utiles, accessibles et de qualité pour ses citoyens de plus en plus connectés et mobiles. En poursuivant le développement et l’intégration de nouveaux services sur xxxxxxxx.xx et en développant des services de sollicitations citoyennes (Marketing direct),

- sur la e-culture avec le démarrage opérationnel de la CCV, du nouveau site des archives, l’élaboration du schéma numérique du conservatoire, le développement de l’offre sur le web des musées de la ville et notamment la refonte du site du CAPC, l’accompagnement au projet ‘boites pédagogiques du CAPC’, le portail des bibliothèques et des médiathèques, l’équipement d’un laboratoire de langue à la

bibliothèque Mériadeck mais également les projets d’évolutions des solutions en

place et notamment du SIGB, de la gestion des collections

- Sur la performance des services : le renouvellement du système d’information ‘enfance et petite enfance’, l’unification des outils de recouvrement des droits de voirie et des droits de place, la dématérialisation et l’archivage électronique, le contrôle d’accès et l’évolution de la billetterie des équipements sportifs, le développement du SIG et des tableaux de bords, des outils de géolocalisation, la gestion des résidents, le renouvellement du logiciel de recensement des jeunes, l’annuaire des associations et l’évolution de la plateforme de l’engagement

- Sur les infrastructures enfin, en mettant à disposition des services performants, sécurisés, innovants, efficaces énergétiquement accompagnés de politiques de gestions optimisées visant la maîtrise des coûts.

- Sur la e-culture avec la déclinaison opérationnelle de la labellisation Bibliothèque numérique de référence et le développement des fonds multimédia dans les bibliothèques de quartier, l'évolution du portail des bibliothèques, le développement de l’offre multimédia dans les musées de la ville et de leurs sites Internet, l'élaboration du projet numérique du Muséum, l'enrichissement et le développement du site Internet des Archives, l'élaboration du projet de Conservatoire numérique, le développement des propositions multimédia à Bordeaux Patrimoine Mondial, la mise en place du volet numérique de la Cité du vin et les projets d’évolutions des solutions en place et notamment du SIGB, de la gestion des collections

IV-b/ Les indicateurs et valeurs cibles

Sous-domaines de mutualisation

Engagements de service du domaine Numérique et

systèmes

d’informations

Indicateurs

(Définition/ Mode de calcul de

l’indicateur)

Périodicité de suivi

Source de suivi

(ex : SI…)*

Niveau de service constaté

(et volumétrie correspondante)

Conditions de réalisation de l’engagement

A. Co- construction de la stratégie Numérique communale, Gouvernance et Sécurité

Engagement

1.1 : Produire et actualiser un plan d’actions pluriannuel pour la

commune

Indicateur 1.1.1 : Elaboration et mise à jour annuelle d’un schéma Numérique communal (sur 3 ans)

Annuelle

Livrable

Existence : Oui : agenda Digital 2014- 2017

Fréquence de mise à jour : annuelle

Engagement

1.2 :

Maitriser les risques liés aux systèmes

d’information

Indicateur 1.2.1 : Niveaux de maturité en sécurité des systèmes d’information sur la base de la norme ISO 27001

Annuelle

Audit

Existence : Oui – audit réalisé en mars 2014

Niveau constaté (/5) : conformité 3, continuité 1, incidentiel 1,

organisation/RH 2,5, Accès1,5

B. Réalisation des projets numériques de compétence communale

Engagement

2.1 : Réaliser les projets

conformément aux priorités partagées et définies au schéma

numérique communal

Indicateur 2.1. : Charge consacrée aux projets

Mensuelle ou trimestrielle

Outil de gestion de projets

2470j/h consacrés chaque année aux projets

Engagement

2.2 :

Maintenir les

applications métiers du

Indicateur 2.2. : Etendue du parc applicatif maintenu

Annuelle

Outil gestion de projet

Inventaire du parc applicatif transféré annexé à la convention

système d’information de la commune

C. Fourniture des postes et environnements numériques de travail / assistance utilisateurs

Engagement

3.1 :

Assurer le renouvellement des postes et environnements

numérique de travail (PENT)

Indicateur 3.1.1 : Taux de modernisation du parc des PENT actuels

Annuelle

Inventaire du parc des PENT

Renouvellement tous les 5 ans (+ ou – 2 ans selon les équipements et les usages)

Engagement

3.2 : Maintenir les horaires

d’ouverture du service d’assistance

/support de la commune

Indicateur 3.2.1 : Heures d’ouvertures de l’assistance / support sur le niveau 1

Annuelle

Données d’exploitation du service

8h30 – 18h du lundi au vendredi

Engagement

3.3 :

Assurer la prise en compte de la demande ou de l’incident dans

les meilleurs délais

Indicateur 3.3.1 :

Délai de prise en compte des demandes

Mensuelle ou trimestrielle

Centre d’assistance et de support utilisateurs

Les nouvelles demandes sont prises

en compte et traitées dans un délai maximum de deux semaines.

Indicateur 3.3.2 : Délai de résolution des incidents par criticité

75% des incidents sont résolus lors du premier appel au centre de contact

Hébergement, exploitation et maintien en conditions

opérationnelles (MCO) des

Engagement

4.1 :

Assurer la disponibilité et la continuité de service des

applications et

Indicateur 4.1.1 : Délai d’intervention

Mensuelle ou trimestrielle

Direction des infrastructures et de la production

Selon la complexité : entre ½ journée et 1 jour

systèmes

d’information

services métiers critiques

Engagement

4.2 :

Assurer le stockage et la conservation des données et des informations de

la commune

Indicateur 4.2.1 :

Délais de restauration

Annuelle

Direction des infrastructures et de la production

Varie selon le support de sauvegarde

– entre ½ heure et 1 jour après prise

en compte du délai d’intervention

Indicateur 4.2.2 : Durée maximum d’enregistrement des données qu’il est acceptable de perdre

Une journée

*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de

satisfaction, certification…). Cf article 2 du contrat d’engagement.

V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement »

Contexte

- Le marché commun de l’économie numérique, en harmonisant les législations des états

membres.

- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de

« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de

« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.

V-a/ Définitions

En conformité avec les textes applicables il est défini que :

- Sont des « données à caractère personnel », toutes les informations se rapportant à une personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :

o directement (nom prénom, photo, e-mail nominatif…)

o indirectement (numéro d’identification, données de localisation, données propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale…)

- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine

les finalités et les moyens d’un traitement de données à caractère personnel considéré.

- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les

finalités et les moyens d’un tel traitement.

- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de

traitement résumées comme suit :

1. Principe de licéité, de loyauté, de transparence du traitement

2. Principe de finalité déterminée, explicite, légitime de chaque traitement

3. Principe de minimisation des données collectées au regard des stricts nécessités du traitement considéré

4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin ou leur suppression

5. Principe d’information des personnes dont les données sont traitées

6. Principe de sécurité et de confidentialité des données traitées

7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le traitement de données à caractère personnel, la réalisation de formalités et d’actions spécifiques.

Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale Informatique et Libertés)

V-b/ RGPD- Principes et responsabilités

Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants,

susceptibles d’être conjointement engagées.

En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement est tenu de documenter précisément les actions prouvant la conformité au RGPD (principe

d’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur

réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.

Responsabilités communes aux responsables de traitement et sous-traitants

- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des

traitements de données à caractère personnel (principe d’accountability).

Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par l’organisme qui l’a désigné.

Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources adéquats.

Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque traitement.

Responsabilités propres au « responsable de traitement »

Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au

sous-traitant qui ne doit agir que sur ordre du responsable de traitement.

Responsabilités propres au « sous-traitant »

Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour

attester de la conformité et pour permettre la réalisation d’audits.

Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.

Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant exercer leurs droits.

Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.

V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information

Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun des traitements de données à caractère personnel mis en œuvre pour son compte.

o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,

o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du traitement communal considéré en ayant qualité de pouvoir adjudicateur,

o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le

système d’information commun, sans qu’elle en ait défini les finalités et les moyens.

Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le

Centre communal d’action sociale de cette ville.

Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.

Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des données à caractère personnel.

D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection

des données, tout au long de la mise en œuvre des traitements

Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de

« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant

mutualisé son système d’information (à défaut, son interlocuteur est le DGS).

V-d/Les obligations spécifiquement souscrites

Les engagements constituant le « socle commun » à toutes les communes, membres du système

d’information mutualisé

- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)

Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les

informations relatives aux prestataires concernés et au contenu des engagements souscrits.

- La gestion des demandes des personnes concernées, hors information concernant les violations de données

Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.

- L’information des usagers concernant les « violations de données »

La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans la PGSSI, impliquant le RSSI et le DPO.

Document Metadata

Table of Contents

Avenant n°2

Document Metadata