Offres
API
Connexion
Documents similaires
Conseil Municipal - acte 00133227 D
Conseil Municipal - acte 00124548 D
Conseil Municipal - acte 00103436 D
Conseil Municipal - acte 00101984 D
Conseil Municipal - acte 00116051 D
Conseil Municipal - acte 00120769 D
Conseil Municipal - acte 00103437 D
Conseil Municipal - acte 00088445 D
Conseil Municipal - acte 00010140 D
Conseil Municipal - acte 00133227 D
Conseil Municipal - acte 00052086 D
Document publié le Mardi 1 janvier 2086 par la commune de Bordeaux.
Lien du pdf (Conseil Municipal - acte 00052086 D)
Thèmes du document : Données personnelles, Cybersécurité, Culture et patrimoine,
EXTRAIT DU REGISTRE DES DELIBERATIONS
DU CONSEIL MUNICIPAL
___________
Conseillers en exercice : 61
Date de Publicité : 10/07/18
Reçu en Préfecture le : 10/07/18
CERTIFIÉ EXACT,
Séance du lundi 9 juillet 2018
D - 2 0 1 8 / 1 9 0
Aujourd'hui 9 juillet 2018, à 15h00,
le Conseil Municipal de la Ville de Bordeaux s'est réuni en l'Hôtel de Ville, dans la salle de ses séances, sous la présidence de
Monsieur Alain JUPPE - Maire
Etaient Présents :
Monsieur Alain JUPPE, Madame Virginie CALMELS, Monsieur Nicolas FLORIAN, Madame Alexandra SIARRI, Madame Anne BREZILLON, Monsieur Fabien ROBERT, Mme Anne-Marie CAZALET, Monsieur Nicolas BRUGERE, Madame Brigitte COLLET, Monsieur Jean-Louis DAVID, Madame Emmanuelle CUNY, Monsieur Stephan DELAUX, Monsieur Marik FETOUH, Madame Laurence DESSERTINE, Monsieur Jean-Michel GAUTE, Madame Magali FRONZES, Monsieur Pierre LOTHAIRE, Madame Emilie KUZIEW, Monsieur Pierre De Gaétan NJIKAM MOULIOM, Madame Arielle PIAZZA, Monsieur Jérôme SIRI, Madame Elizabeth TOUTON, Monsieur Joël SOLARI, Madame Ana maria TORRES, Monsieur Jean-Pierre GUYOMARC'H, Monsieur Michel DUCHENE, Madame Mariette LABORDE, Madame Marie-Françoise LIRE, Monsieur Philippe FRAILE MARTIN, Monsieur Gérald CARMONA, Madame Anne WALRYCK, Madame Marie-Hélène VILLANOVE, Madame Florence FORZY-RAFFARD, Madame Constance MOLLAT, Monsieur Alain SILVESTRE, Madame Marie-José DEL REY, Madame Maribel BERNARD, Monsieur Guy ACCOCEBERRY, Monsieur Yohan DAVID, Monsieur Edouard du PARC, Madame Sandrine RENOU, Madame Estelle GENTILLEAU, Monsieur Marc LAFOSSE, Monsieur Yassine LOUIMI, Madame Stéphanie GIVERNAUD, Madame Solène COUCAUD-CHAZAL, Madame Cécile MIGLIORE, Madame Michèle DELAUNAY, Monsieur Pierre HURMIC, Monsieur Vincent FELTESSE, Madame Emmanuelle AJON, Monsieur Nicolas GUENRO, Madame Delphine JAMET, Monsieur Matthieu ROUVEYRE, Madame Catherine BOUILHET, Monsieur François JAY, Madame Cécile MIGLIORE présente jusqu'à 17h30
Excusés :
Monsieur Didier CAZABONNE, Madame Nathalie DELATTRE, Monsieur Erick AOUIZERATE, Monsieur Benoit MARTIN, Mme Laetitia JARTY ROYAvenant au Contrat d'engagement de la Ville de Bordeaux
- Règlement général sur la protection des données (RGPD)
Monsieur Nicolas FLORIAN, Adjoint au Maire, présente le rapport suivant :
Mesdames, Messieurs,
La « révolution numérique » engendre de profondes mutations et reconfigure toutes les pratiques professionnelles. Les administrations, en première ligne, mettent en œuvre de nombreux chantiers de modernisation et de dématérialisation des processus (plates-formes, télé-services, ouvertures des données publiques, « villes intelligentes »…).
Cette digitalisation de la société, notamment l’« Internet des objets », apporte de nouvelles perspectives économiques et de nouveaux services facilitant la vie quotidienne, mais expose chaque jour davantage la vie privée et les libertés individuelles.
Afin d’adapter le droit à ces nouveaux enjeux, un Règlement Général pour la Protection des Données (RGPD) 2016-679, a été adopté par le Parlement Européen le 14 avril 2016. Il entre directement en application dans chacun des Etats membres à compter du 25 mai 2018.
Les nouveaux principes définis par ce texte renforcent considérablement les règles qui, en France, depuis la loi LIL 78-17, modifiée en 2004, encadraient la mise en œuvre de traitements de « données à caractère personnel », c’est-à-dire tous les traitements manuels ou informatisés, de données permettant d’identifier directement ou indirectement des personnes physiques.
Ce règlement renforce notamment :
1) le marché commun de l’économie numérique, en harmonisant les législations des Etats membres et en s’appliquant tant aux géants mondiaux de l’Internet, qu’aux opérateurs internes, étant opposable dès que de tels traitements concernent des citoyens européens.
2) les droits et l’information des individus dont les données sont utilisées, en leur reconnaissant un véritable pouvoir d’« autodétermination informationnelle ». A ce titre, il accroit leurs droits actuels d’information, d’accès, de rectification, d’opposition, d’effacement et en reconnait de nouveaux tels que la portabilité des données, permettant à chacun de faire transférer ses données personnelles d’une entreprise à l’autre.
3) les obligations des acteurs intervenant sur les traitements de données à caractère personnel, qu’ils agissent en qualité de « responsables de traitements », définissant les finalités et les moyens d’un traitement ou de « sous-traitants » intervenant directement ou indirectement sur ordre des premiers.
Tous ces opérateurs sont désormais tenus de respecter les nouvelles exigences de sécurité, imposant de prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens avant la mise en œuvre de chaque nouveau traitement, ainsi que les exigences d’inventaire et de documentation de la conformité des traitements.
A cette occasion, il impose à chaque personne publique, mais aussi, à la plupart des opérateurs privés, la désignation d’un Délégué à la Protection des Données (couramment appelé DPO par référence à l’acronyme du terme anglais « Data Protection Officer »). Cet expert succède au « Correspondant Informatique et Libertés » auparavant facultativement désigné par chaque organisme manipulant des traitements de données à caractère personnel. Il est notamment chargé de missions d’analyse des traitements, de sensibilisation des personnels ; il doit être consulté en amont de la conception et de la mise en œuvre de tout nouveau traitement de données à caractère personnel. Il formule des recommandations et contrôle leur application.
4) le quantum des sanctions financières pouvant être prononcées par l’autorité de régulation, la Commission Nationale Informatique et Libertés (CNIL), qui pourront atteindre 20 millions d’euros.En France, une loi dénommée « LIL III », modifiant la loi 78-17 vient d’être votée pour compléter les aspects laissés au pouvoir résiduel des Etats.
Pour l’ensemble des « responsables de traitements » de données à caractère personnel, qu’ils soient privés ou publics, les impacts organisationnels et techniques attachés à l’entrée en vigueur de ces textes sont considérables.
Le RGPD impose notamment la signature entre « responsables de traitements », « responsables de traitements conjoints » et « sous-traitants », de contrats détaillant précisément la répartition des obligations qu’il définit.
Or, dans le contexte de la mutualisation, il ressort que chaque commune ayant mutualisé le domaine du numérique et des systèmes d’information, demeure légalement identifiée comme le « responsable des traitements » de données à caractère personnel mis en œuvre pour son compte et que Bordeaux Métropole peut recevoir, pour les mêmes traitements, selon le cas, la qualité de « responsable de traitement conjoint » ou de « sous-traitant ».
Il est donc nécessaire de compléter les contrats d’engagement souscrits par les communes ayant mutualisé les systèmes d’information pour y intégrer de nouvelles stipulations apportant les précisions et engagements réciproques requis par le RGPD.
Cette démarche permet aussi de souligner la volonté, partagée par l’ensemble des adhérents au Système d’information mutualisé, de mettre en œuvre des processus et bonnes pratiques recherchant spécifiquement la meilleure sécurité des données et la protection de la vie privée des personnes physiques, dans l’objectif d’offrir des services d’administration dématérialisée fiables, fondant la pleine confiance des administrés.
Le projet d’avenant, soumis à la présente délibération du Conseil municipal, a été élaboré à partir des propositions du groupe de projet transverse créé en vue de la mise en œuvre du RGPD, ayant associé des représentants des communes et de la Métropole. Il viendra, pour chaque commune signataire, modifier en la complétant, l’annexe au contrat d’engagement intitulée « domaine numérique et systèmes d’information ».
Ce texte vient définir les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties acceptent de se soumettre chacune en vue de leur conformité au RGPD.
Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques », « chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les moyens organisationnels et techniques mis en place pour optimiser la sécurité du système d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées.
Il ressort de cette annexe ainsi modifiée les points essentiels suivants :
1) Les engagements constituant un socle commun à toutes les communes
- la Métropole sera, d’une façon générale, chargée de sélectionner les fournisseurs ou prestataires du système d’information commun, qui ont qualité de sous-traitants de données à caractère personnel au sens du RGPD, qu’ils participent à la mise en œuvre de tels traitements pour des besoins exclusivement communaux ou pour des besoins concernant tant les communes que la Métropole. Il s’agit ainsi de favoriser la construction d’un système d’information mutualisé unitaire et rationnalisé. Toutefois, chaque commune conservera, si c’est faisable techniquement, la faculté de solliciter, à ses frais, une solution différente, dès lors qu’elle se conforme aux formalités et processus standardisés d’acquisition des nouveaux traitements, applicables aux membres du système d’information mutualisé.
- d’autre part, Bordeaux Métropole, sera chargée, en lien avec la Ville de Bordeaux, de gérer, dans les nouveaux délais impartis, l’ensemble des demandes des personnes sollicitant l’exercice de leurs droits tels que définis par le RGPD.- il est également souligné que Bordeaux Métropole déclinera toute responsabilité en cas de mise en cause pour manquement aux dispositions du RGPD, s’il s’avérait que la commune, responsable du traitement litigieux, a acquis et mis en œuvre celui-ci en dehors des processus standardisés d’évaluation préalable, d’acquisition et de déclaration, que l’annexe modifiée définit pour permettre la bonne application du RGPD.
- il est spécifié que la gouvernance de la sécurité du système d’information commun sera organisée au sein de la Politique Générale de Sécurité des Systèmes d’Information (PGSSI) de Bordeaux Métropole. Le principe retenu est qu’en cas de difficulté persistante entre les préconisations des services de Bordeaux Métropole, notamment de son Délégué à la Protection des Données et celles des services de la commune, au sujet d’un traitement de données à caractère personnel communal, des arbitrages pourront être sollicités auprès des Directeurs Généraux des Services communaux et métropolitains; l’avis de l’Inspecteur Général des Services de Bordeaux Métropole pourra également être recherché ainsi qu’en dernier recours, celui de la CNIL.
Enfin, sont définies les modalités d’inventaire et de reprise pour leur mise en conformité, des traitements antérieurs à la mutualisation des services.
L’ensemble des coûts liés à la mise en œuvre des nouvelles dispositions étant pris en charge par Bordeaux Métropole, l’avenant annexé aux présentes n’emporte aucune incidence financière pour la Ville. Toutefois, si des éléments nouveaux tels qu’une dotation de l’Etat pour aider les communes à se mettre en conformité avec le RGPD devaient intervenir, le principe de neutralité financière de cet avenant pourrait être revu.
2) Les choix optionnels sur lesquels chaque commune doit se positionner
Selon un choix initial à déterminer avant la signature de l’avenant, chaque commune peut décider que :
- les « violations de sécurité » relatives à des données à caractère personnel (failles de sécurité susceptibles de permettre des divulgations, corruptions, destructions de données) qui devront dans certains cas être notifiées à la CNIL et aux personnes concernées pourront, ou non, demeurer gérées en commune.
- la fonction de Délégué à la Protection des Données ou DPO sera, ou non, mutualisée avec Bordeaux Métropole.
Ceci étant exposé il vous est demandé Mesdames et Messieurs, de bien vouloir si tel est votre avis, adopter les termes de la délibération suivante :
Le Conseil municipal de Bordeaux,
Vu le contrat d’engagements souscrit par la Ville de Bordeaux, membre du système d’information mutualisé, et notamment son annexe « domaine numérique et système d’information »,
Vu le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à la Protection des Données à Caractère Personne (RGPD), entrant en vigueur le 25 mai 2018, imposant une répartition contractuelle précise des nouvelles responsabilités qu’il énonce, entre tous les acteurs d’un traitement de données à caractère personnel, qui peuvent avoir qualité de « responsable de traitement », « responsable de traitement conjoint » ou de « sous-traitant »,
Entendu le rapport de présentation,
Considérant qu’il y a lieu de réviser les niveaux de service pour répondre à cette nouvelle obligation légale et d’autoriser Monsieur le Maire à signer l’avenant au contrat d’engagement de la Ville de Bordeaux sur le domaine mutualisé des systèmes d’information avec Bordeaux Métropole, en complétant les annexes domaine numérique et systèmes d’information,Décide d’autoriser Monsieur le Maire de Bordeaux à signer avec Bordeaux Métropole, l’avenant au contrat d’engagement, révisant le niveau de service pour prendre en compte les obligations légales imposées par le Règlement Général pour la Protection des Données (« RGPD »), dont les éléments sont ci annexés.
ADOPTE A L'UNANIMITE
Fait et Délibéré à Bordeaux, en l’Hôtel de Ville, le 9 juillet 2018
P/EXPEDITION CONFORME,
Monsieur Nicolas FLORIAN1
Avenant n°3
Contrat d’engagement
entre Bordeaux Métropole et
la commune de Bordeaux
Règlement général de protection des données
(RGPD)
Entre
Bordeaux Métropole représentée par son Président, Monsieur Alain Juppé, dûment habilité
par délibération, n° ………… du …………… 2018,
d'une part,
Et
La commune de Bordeaux représentée par son Maire-adjoint, Monsieur Nicolas Florian,
dûment habilité par délibération n°………….. du …………2018,
VU le contrat d’engagement signé en date du 15 février 2016 par Monsieur Alain Juppé, Président de Bordeaux Métropole et Monsieur Nicolas Florian, Maire-adjoint de Bordeaux.
VU l’avenant n°1 au contrat d’engagement signé en date du 23 avril 2018 par Monsieur Alain Juppé, Président de Bordeaux Métropole et Monsieur Nicolas Florian, Maire-adjoint de Bordeaux.2
VU l’avenant n°2 au contrat d’engagement signé en date du 23 avril 2018 par Monsieur Alain Juppé, Président de Bordeaux Métropole et Monsieur Nicolas Florian, Maire-adjoint de Bordeaux.
VU le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données », applicable directement au sein de chaque pays de l’Union Européenne, visant à adapter le droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société numérique, intensifiant les obligations des opérateurs publics ou privés traitant des données à caractère personnel et imposant notamment qu’à compter du 25 mai 2018 :
- chaque administration désigne un « délégué à la protection des données » ;
- tous les acteurs intervenant sur un même traitement de données à caractère personnel, qu’ils
aient la responsabilité de « responsable de traitement », de « responsable conjoint de
traitements » ou de « sous-traitants » au sens du RGPD, organisent contractuellement la
répartition des obligations qu’il définit.
Considérant que dans le contexte de la mutualisation des services de Bordeaux Métropole, l’application du RGPD implique simultanément les responsabilités :
- de la commune membre du service commun de la Direction Générale du Numérique et des
Systèmes d’Information (DGNSI), qui conserve légalement la qualité de « responsable de
traitement » pour chaque traitement de données à caractère personnel mis en œuvre par le
système d’information de Bordeaux Métropole pour son compte ;
- de Bordeaux Métropole qui, pour chaque traitement de données à caractère personnel mis en
œuvre via son système d’information mutualisé, pour le compte de la commune, peut recevoir,
selon le cas, la qualité de « responsable de traitement conjoint » ou de « sous-traitant » au sens
de ce texte.
Considérant les propositions du groupe de projet transverse, créé à Bordeaux Métropole pour l’application du RGPD, ayant associé un représentant de chaque commune membre du système d’information mutualisé ainsi que des représentants des principaux services communs de la Métropole, directement impactés par ce texte
Considérant la volonté des parties, de réviser les niveaux de services en application de l’article 6 du contrat d’engagement, pour se conformer à ces nouvelles dispositions légales,
Il est convenu et arrêté ce qui suit dans le présent avenant :
ARTICLE 1 : OBJET
Le présent avenant au contrat d’engagement a pour objet de décrire les engagements respectifs des
parties dans le contexte de la mutualisation du système d’information entre Bordeaux Métropole et la
Commune, afin de se conformer aux exigences du règlement RGPD.3
Il définit les objectifs communs, la répartition des responsabilités et les règles auxquelles les parties
acceptent de se soumettre chacune.
Les modalités d’application concrètes, seront progressivement détaillées au moyen d’un « référentiel
documentaire » évolutif composé des documents décrivant les procédures applicables (« politiques »,
« chartes », « fiches techniques », conditions générales d’utilisation...) permettant de décrire les
moyens opérationnels et organisationnels mis en place pour optimiser la sécurité du système
d’information mutualisé et assurer une meilleure protection des données à caractère personnel traitées.
En effet, tant les évolutions légales et règlementaires issues du règlement RGPD, de la loi LIL III et la
jurisprudence, que chaque nouvelle évolution technologique à venir, seront susceptibles d’impliquer des
ajustements « agiles » aux processus, moyens et modalités jusque-là appliqués.
Il est entendu que ceux-ci ne devront pas porter atteinte aux principes fondamentaux convenus aux
termes du contrat d’engagement.
ARTICLE 2 : MODIFICATION DES ANNEXES
L’annexe du domaine concerné par ces révisions de niveaux de services est :
Domaines Objet de la révision de niveaux de services
Numérique et systèmes d’information Règlement général pour la protection des données
Cette annexe est modifiée et remplace celle établie précédemment.
ARTICLE 3 :
Les autres articles et annexes au contrat d’engagement et ses avenants restent inchangés.
ARTICLE 4 :
Cet avenant entre en vigueur au 09 juillet 2018
Fait à Bordeaux, le , en trois exemplaires.
Pour Bordeaux Métropole,
Le Président,
Alain Juppé
Pour la commune de Bordeaux,
Le Maire-adjoint,
Nicolas FlorianANNEXE POUR LE DOMAINE NUMERIQUE ET SYSTEMES D’INFORMATION –
CONTRAT D’ENGAGEMENT
COMMUNE DE BORDEAUX
Propos liminaire à l’ensemble du domaine Numérique et Systèmes d’Information
La transition numérique est un mouvement de fond, qui s’accentue fortement. De simple
adaptation et incorporation de nouveaux outils, elle devient un mouvement global, qui interroge
les entreprises, les collectivités, les citoyens, les modes d’organisation, la culture et les
champs d’actions de toutes les structures, transforme progressivement la société dans tous
les domaines : économique, social, politique, éducatif, urbain, culturel, administratif…
Relever ces défis nécessite d’être innovant à tous les niveaux, d’anticiper le rythme soutenu
d’évolution des technologies, de garantir la sécurité de l’information, de mettre en place des
schémas de développement adaptés aux attentes de la population, des entreprises mais aussi
aux enjeux majeurs de performance publique dans un contexte de ressources contraintes.
La mutualisation du numérique et des systèmes d’information au sein de service commun
témoigne de la volonté, forte et partagée des communes et de la métropole de co-construire
et développer ensemble une politique numérique ambitieuse au service et en support des
politiques publiques communales et métropolitaines.
La taille critique ainsi atteinte doit favoriser l’efficience dans le service rendu, les économies
d’échelle la mobilisation de partenaires, l’ingénierie de projets complexes et l’innovation. Elle
doit également favoriser la construction d’une offre de service commune et apporter des
garanties en matière de performance, de disponibilité et de sécurisation des infrastructures,
des plateformes et des données, le tout dans un souci de développement durable.
Le besoin d’agilité et de transparence se concrétise par une série d’outils à construire
ensemble qu’il s’agisse de la gouvernance, de l’ambition numérique partagée, des schémas
numériques de chaque commune et de contrats d’engagement objet du présent document.DOMAINE : NUMERIQUE ET SYSTEME D’INFORMATION
A. CO-CONSTRUCTION DE LA STRATEGIE NUMERIQUE COMMUNALE,
GOUVERNANCE ET SECURITE
B. REALISATION DES PROJETS NUMERIQUES DE COMPETENCE COMMUNALE
C. FOURNITURE DES POSTES ET ENVIRONNEMENTS NUMERIQUES DE
TRAVAIL / ASSISTANCE UTILISATEURS
D. HEBERGEMENT, EXPLOITATION ET MAINTIEN EN CONDITIONS
OPERATIONNELLES DES SYSTEMES D’INFORMATION
I/ Moyens consacrés par la commune au domaine Numérique et systèmes
d’informations
Les moyens consacrés par la commune au domaine Numérique et Systèmes d’Information
sont détaillés dans la convention de création des services communs liée au contrat
d’engagement. Les objectifs poursuivis par la Métropole et la Commune dans le cadre de ce
contrat seront définis au regard des moyens inscrits dans les conventions.
II/ Missions et activités mutualisées dans le domaine Numérique et Systèmes
d’Informations
Activités mutualisées par la Commune et le Centre Communal d’Action Sociale (CCAS)
A- Co-construction de la stratégie numérique communale, gouvernance et sécurité
• Animation de la veille technologique et de l’innovation au service des métiers • Co-construction du Schéma Numérique Communal pluriannuel décliné par direction générale / politique publique (horizon 3 ans, revu annuellement). En fonction des moyens projets transférés (humains et financiers), ce schéma pourra intégrer, en fonction des choix de la commune :
o Des projets propres à la commune ;
o Des projets collectifs qui seront proposés par le service commun en cas de besoins similaires (ex. état civil, e-éducation, médiathèques numériques en ligne, télé services, …)
o Des projets métropolitains ou mutualisés déployés sur la commune (ex. aménagement numérique du territoire, RH, Finances, …).
• Animation de la construction du document stratégique « Ambition Numérique 2020 » avec les élus en charge du numérique, les élus thématiques et les DGS
Pour l’année 2016, seront utilisés les schémas Directeurs et plans d’actions communaux lorsqu’ils préexistent.
Le schéma d’ambition partagée et les schémas numériques communaux 2017-2020 seront élaborés en 2016.
• Animation du rayonnement et des événements numériques majeurs (ex : Semaine Digitale)
• Gestion de la cartographie consolidée du système d’information intégré en cohérence avec le schéma d’urbanisation numérique et SI des services communs. • Définition et contrôle de mise en œuvre des méthodes qualité et des normes applicables au domaine numérique et système d’information
• Elaboration de la politique de sécurité des systèmes d’information• Management de la sécurité de l’information, gestion des risques, audits et conformité
• Homologations de sécurité déléguées pour les téléservices mutualisés le nécessitant
B- Réalisation des projets numériques de compétence communale
Etudes et conseil :
• Etude d'opportunité, indicateurs permettant de suivre le retour sur investissement (ROI) et la valeur attendue
• Pré-étude d’avant-projet
• Expertise
Conduite des projets :
• Pilotage et management des projets en lien avec les maitrises d’usage • Etudes, conception et spécifications
• Passation et exécution des marchés
• Réalisation, développements et paramétrage
• Qualification, recette, intégration et pré-production
• Mise en production et déploiement
• Accompagnement au changement et formation
• Bilan de projet
Maintenance applicative :
• Maintenance corrective et réglementaire
• Maintenance évolutive
C- Fourniture des postes et environnements numériques de travail / assistance
utilisateurs (1)
• Conception, préparation et mise à disposition d’un poste et d’un environnement de travail standardisé
• Gestion du parc de matériel
• Maintenance, réparation des équipements et maintien en condition opérationnelle des environnements numériques de travail
• Assistance aux utilisateurs (agents, élus et publics identifiés) :
o Enregistrement de tous types de demandes, incidents et support relatif au domaine NSI
o Résolution et clôture du ticket
• Formation des utilisateurs en matière de poste et environnement numérique de travail (en lien avec le service RH en charge de l’ingénierie et l’animation du dispositif de formation)
• Suivi des interventions et tableaux de bord
D- Hébergement, exploitation et maintien en conditions opérationnelles (MCO) des
systèmes d’information (2)
Audit, conseil et conception des infrastructures
• Audit et conseil
• Ingénierie
• Mise en place, administration des infrastructures informatique et des réseaux Hébergement, exploitation et maintien en condition opérationnelle des systèmes d’information
• Fourniture d’espace d’hébergement sécurisé en salle dédiée en interne ou chez un prestataire hébergeur
• Hébergement applicatif sur une infrastructure sécurisée, redondée de serveurs et de stockage avec son environnement logiciel (OS, SGBD, serveurs applicatifs, virtualisation…)• Ingénierie d’intégration, d’exploitation et de surveillance des services applicatifs hébergés et des infrastructures
• Contractualisation et pilotage des prestations d’hébergements externalisés et suivi des engagements
• Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures (gestion des niveaux de services, incidents et maintenances sécurité)
Hébergement, exploitation et maintien en condition opérationnelle des réseaux • Ingénierie, mise en œuvre et administration de réseaux et de télécommunication • Maintien en conditions opérationnelles des infrastructures et équipements (éléments actifs, bornes, fibre, …) et notamment exploitation / construction / maintenance des réseaux GFU, WIFI privés et publics
(1) On entend ici par « Poste et environnement numérique de travail / assistance utilisateurs »,
l’ensemble des moyens mis à la disposition des utilisateurs pour leur permettre notamment de
travailler, se connecter, éditer, être informé, communiquer. Sont notamment couverts par ce
domaine :
• Le terminal (PC fixe, ordinateur portable, tablette, …), ses accessoires et les garanties
associées,
• Les applications indispensables au fonctionnement du terminal (systèmes
d’exploitation, licences matérielles et d’environnements, …),
• Les outils bureautiques et collaboratifs dont mail,
• Les services d’impression et de numérisation : individuels et collectifs,
• Les équipements et services de téléphonie (téléphone fixe, fax, téléphone mobile,
smartphone, …),
• L’accès à internet et les abonnements de données éventuels,
• Les services de sécurisation du poste, de stockage et de sauvegarde,
• Ainsi que l’assistance et le support utilisateur afin de traiter les demandes et/ou
incidents.
(2) La gestion des courants faibles n’est pas incluse dans le périmètre et devra s’organiser
progressivement avec la direction des bâtiments le cas échéant.
III/ Modalités de mise en œuvre
III-a/ Les responsables en charge des activités du domaine Numérique et SI s’engagent à
mettre en œuvre un service s’inscrivant dans un esprit de collaboration interactive, équitable
et transparente entre les communes et le service commun métropolitain, en portant une
attention toute particulière à :
- Garantir le maintien du niveau de service actuellement disponible et assurer le
respect des engagements pris, qu’il s’agisse de niveau de performance,
d’équipement ou de plage horaire d’intervention. Veiller notamment à la
disponibilité et la continuité de service des applications métiers, au stockage et à la
conservation des données ;
- Prendre en compte et traiter les attentes numériques et SI de chaque commune
dans le cadre des moyens transférés ;- Mettre en œuvre des approches globales et des réflexions transverses dans une
logique de convergence permettant in fine de dégager des marges de manœuvre
source de nouveaux projets et d’amélioration de la qualité de service ;
- Appuyer les orientations sur l’état de l’art en matière de démarches projets, de
plateformes applicatives et technologiques.
D’une façon progressive, dans un souci de convergence et d’efficience, le service commun :
• Mettra en place un centre d’appel multicanal favorisant la prise en compte de
l’assistance de premier niveau, la gestion des incidents et des demandes des
utilisateurs ;
• Favorisera la convergence avec la construction progressive d’un socle partagé,
consolidé, sécurisé sur lequel s’appuiera une offre de service applicative partagée ;
• Définira une offre de service s’appuyant sur de nouveaux standards en matière
d’équipements favorisant les nouveaux usages (collaboratif, mobilité, …). Il s’agira
également de mettre en place des outils et processus d’intervention qui s’inspireront
des bonnes pratiques issues du système de management de la qualité ITIL
(Information Technology Infrastructure Library) ;
• Consolidera les infrastructures dans des salles informatiques sécurisées. La métropole
se réserve la possibilité d’une externalisation partielle du système d’information,
permettant d’intégrer des niveaux de service contraints, 24h/24 7 jours/7 ou encore
des besoins ponctuels de capacité.
III-b/ Les modes de fonctionnement :
Les modes de fonctionnement ont pour objectif de décrire les interfaces entre les services de la
Commune et le service commun de la Métropole concernant le domaine Numérique et
Systèmes d’Informations.
Bordeaux Métropole et les communes s’engagent à formaliser des modes de fonctionnement à
la mise en place des services communs, les éléments présentés ci-après constituant de
premiers éléments explicatifs des modes de fonctionnement envisagés. L’ensemble des modes
de fonctionnement qui seront progressivement mis en œuvre s’appuieront sur des référentiels
de bonnes pratiques déjà déployés dans plusieurs collectivités impliquées dans la mutualisation.
Ainsi le contenu de l’ensemble de ces annexes s’est fortement appuyé sur ces documents de
référence tels que ITIL (Information Technology Infrastructure Library), ISO 9001, CMMI
(Capability Maturity Model for Integration), COBIT (Control Objectives for Information and
Related), TCO (Total Cost of Ownership - modèle du GARTNER Group), ISO 17799 (bonnes
pratiques en matière de sécurité des SI).
DOCUMENTS DE REFERENCE
L’organisation proposée permettra d’animer l’élaboration d’un schéma numérique
communal décliné par direction générale / politique publique et centré sur les services à la
population : proximité, éducation, culture, citoyenneté, social, … Ce document intégrera
également les projets métropolitains et transverses déployés sur la commune (ex.
Aménagement numérique du territoire, mobilité, collaboratif, Finances, RH ,…). Ce schéma,élaboré sous la responsabilité des élus communaux, en lien avec les services de la commune
et le service commun, constituera le document de référence pour planifier et suivre l’ensemble
des projets numériques portés sur la commune au regard des moyens projets transférés
(humains et financiers).
Ces travaux s’appuieront sur un cadre stratégique partagé « Ambition Digitale 2020 » portant
la vision et l’ambition commune des collectivités. Ce document sera élaboré par l’ensemble
des acteurs du territoire : élus en charge du numérique, élus thématiques, les directions
générales des collectivités, les autres collectivités, les collectifs citoyens, l’Etat, les entreprises,
l’université, les écoles et les associations.
GOUVERNANCE :
Afin d’assurer la définition et la mise en œuvre de ces documents ainsi que le suivi du présent
contrat d’engagement, il est proposé de mettre en place la comitologie suivante :
Comité numérique stratégique par thématique / politique publique
• Objet : Elabore, valide et porte le schéma numérique par thématique / politique
publique, sa mise à jour annuelle et assure un point d’avancement à mi- année sur les
projets prévus.
• Participants :
o Pour la commune : Elu en charge du numérique (ou d’un représentant désigné
par le Maire), des élus thématiques, selon les dossiers abordés, du Directeur
Général des Services et des DGA concernés.
o Pour le service commun : le responsable en charge du contact avec la
commune concernée (DSI actuel pendant la phase de transition), les directeurs
en charge des programmes numériques concernés, le Directeur Général en
charge du service commun.
• Fréquence : annuel à bi-annuel
Comité de suivi du contrat d’engagement :
• Objet : Analyse des indicateurs de réalisé, identification de piste d’amélioration
éventuelle et des nouveaux besoins à anticiper : nouveaux projets, nouveaux
équipements, …
• Participants :
o Pour la commune : le Directeur Général des Services (ou son représentant),
référent pour le suivi du contrat d’engagement.
o Pour le service commun : un représentant de la Direction d’appui administrative
et financière, le Directeur en charge de l’assistance et de l’offre de service, le
responsable en charge du contact avec la commune concernée (DSI actuel
pendant la phase de transition).
• Fréquence : trimestriel
Point d’avancement opérationnel : Suivi continu des activités liées au Numérique et aux SI
pour la commune conformément au rythme actuel.A ces comités de suivi et de pilotage pour la commune s’ajouteront les comités mis en
œuvre dans le cadre des projets.
ROLES ET RESPONSABILITES
Rôles et responsabilités globales sur le domaine
Responsable pour le service
commun
Responsable du service commun en charge du contact
avec la commune concernée (DSI actuel pendant la
phase de transition) représentant le Directeur général
du service commun.
Responsable pour la
commune
Responsable du suivi du contrat d’engagement
représentant le Directeur général des services et sous
couvert de l’élu en charge du numérique
Types de
saisines
A- Co-
construction de la
stratégie
numérique
communale,
gouvernance et
sécurité
B- Réalisation
des projets
numériques de
compétence
communale
C- Fourniture des
postes et
environnements
numériques de
travail /
assistance
utilisateurs
D- Hébergement,
exploitation et
maintien en
conditions
opérationnelles
(MCO) des
systèmes
d’information
Saisine
ordinaire
Commune :
Référent en
charge du suivi
du contrat
d’engagement
Service
commun :
Responsable du
service commun
en charge du
contact avec la
commune
concernée
(Direction des
Systèmes
d’information
actuelle pendant
la phase de
transition)
Commune :
Chef de projet -
maîtrise d’usage
Service
commun : Chef
de projet service
commun
Commune :
utilisateur (élu,
agent, citoyen,
…)
Service commun
: Centre d’appel
Commune :
Responsable
applicatif métier
Service
commun : Chefs
de service de la
Direction des
Infrastructures et
de la Production
Saisine en
urgence
Commune :
Direction
générale adjointe
de la commune
Service
commun :
adjoints au
Commune :
Directeur métier
Service
commun :
Directeur des
programmes
Commune : Chef
de service de
l’utilisateur
Service
commun: Chef
de service centre
Commune : Chef
de service en
charge de
l’application
Service
commun :
Directeur desDirecteur général
du service
commun.
numériques
concerné
d’appel et
pilotage
Infrastructures et
de la Production
Saisine
exceptionnelle
Commune :
Directeur général
des services
Service
commun :
Directeur général
du service
commun.
Commune :
Directeur général
des services
Service
commun :
Adjoint au
directeur général
en charge des
programmes
numériques
Commune :
Directeur en
charge de
l’utilisateur
Service
commun :
Directeur de
l’assistance et de
l’offre de service
Commune :
Directeur en
charge de
l’application
Service
commun :
Adjoint au
directeur général
en charge de la
stratégie et des
systèmes
d’information
IV/ Les engagements de service
IV-a/ Les engagements de service généraux et priorités
Les principales priorités / dossiers prioritaires en matière de numérique et de SI sont les
suivants :
La Ville de Bordeaux aborde depuis plusieurs années le développement du numérique à
travers son agenda ‘Bordeaux Cité Digitale’ décliné en plusieurs axes qui ont en commun
l’amélioration du cadre de vie de ses habitants, l’interaction avec une population de plus en
plus connectée, nomade et multi-écrans, la transmission des savoirs, le lien social, l’attractivité
du territoire pour ses entreprises, mais aussi la performance organisationnelle et économique
de la municipalité. Il s’agira de poursuivre cette dynamique :
- au niveau e-éducation en poursuivant un ambitieux programme d’équipement
d’outils numériques dans les écoles et d’accompagnement aux nouveaux usages
pédagogiques et éducatifs qui s’en dégagent (apprentissage des langues, du code,
…),
- en matière de solidarité numérique en créant du lien entre les différentes entités de
la ville déjà acteurs sur ce sujet mais également en développant des partenariats
avec des associations afin de répondre aux enjeux du territoire
- sur les e-services en renforçant son action de développement de services utiles,
accessibles et de qualité pour ses citoyens de plus en plus connectés et mobiles.
En poursuivant le développement et l’intégration de nouveaux services sur
bordeaux.fr et en développant des services de sollicitations citoyennes (Marketing
direct),
- sur la e-culture avec le démarrage opérationnel de la CCV, du nouveau site des
archives, l’élaboration du schéma numérique du conservatoire, le développement
de l’offre sur le web des musées de la ville et notamment la refonte du site du
CAPC, l’accompagnement au projet ‘boites pédagogiques du CAPC’, le portail des
bibliothèques et des médiathèques, l’équipement d’un laboratoire de langue à labibliothèque Mériadeck mais également les projets d’évolutions des solutions en
place et notamment du SIGB, de la gestion des collections
- Sur la performance des services : le renouvellement du système d’information
‘enfance et petite enfance’, l’unification des outils de recouvrement des droits de
voirie et des droits de place, la dématérialisation et l’archivage électronique, le
contrôle d’accès et l’évolution de la billetterie des équipements sportifs, le
développement du SIG et des tableaux de bords, des outils de géolocalisation, la
gestion des résidents, le renouvellement du logiciel de recensement des jeunes,
l’annuaire des associations et l’évolution de la plateforme de l’engagement
- Sur les infrastructures enfin, en mettant à disposition des services performants,
sécurisés, innovants, efficaces énergétiquement accompagnés de politiques de
gestions optimisées visant la maîtrise des coûts.
- Sur la e-culture avec la déclinaison opérationnelle de la labellisation Bibliothèque numérique de référence et le développement des fonds multimédia dans les bibliothèques de quartier, l'évolution du portail des bibliothèques, le développement de l’offre multimédia dans les musées de la ville et de leurs sites Internet, l'élaboration du projet numérique du Muséum, l'enrichissement et le développement du site Internet des Archives, l'élaboration du projet de Conservatoire numérique, le développement des propositions multimédia à Bordeaux Patrimoine Mondial, la mise en place du volet numérique de la Cité du vin et les projets d’évolutions des solutions en place et notamment du SIGB, de la gestion des collections
IV-b/ Les indicateurs et valeurs cibles
Des éléments de volumétrie seront à identifier pour disposer d’une référence de volume
d’activités transférées. Si le volume de dossiers traités par an augmente en année N, cette
variation sera à prendre compte dans l’analyse de l’atteinte des niveaux d’engagement.Sous-domaines
de
mutualisation
Engagements
de service
du domaine
Numérique et
systèmes
d’informations
Indicateurs
(Définition/
Mode de calcul de
l’indicateur)
Périodicité
de suivi
Source de
suivi
(ex : SI…)*
Niveau de service constaté
(et volumétrie correspondante)
Conditions de
réalisation de
l’engagement
A. Co-
construction de
la stratégie
Numérique
communale,
Gouvernance et
Sécurité
Engagement
1.1 : Produire
et actualiser un
plan d’actions
pluriannuel
pour la
commune
Indicateur 1.1.1 :
Elaboration et mise à
jour annuelle d’un
schéma Numérique
communal (sur 3 ans)
Annuelle Livrable
Existence : Oui : agenda Digital 2014-
2017
Fréquence de mise à jour : annuelle
Engagement
1.2 :
Maitriser les
risques liés aux
systèmes
d’information
Indicateur 1.2.1 :
Niveaux de maturité en
sécurité des systèmes
d’information sur la base
de la norme ISO 27001
Annuelle Audit
Existence : Oui – audit réalisé en
mars 2014
Niveau constaté (/5) : conformité 3,
continuité 1, incidentiel 1,
organisation/RH 2,5, Accès1,5
B. Réalisation
des projets
numériques de
compétence
communale
Engagement
2.1 :
Réaliser les
projets
conformément
aux priorités
partagées et
définies au
schéma
numérique
communal
Indicateur 2.1. : Charge
consacrée aux projets
Mensuelle
ou
trimestrielle
Outil de
gestion de
projets
2470j/h consacrés chaque année aux
projets
Engagement
2.2 :
Maintenir les
applications
métiers du
Indicateur 2.2. :
Etendue du parc
applicatif maintenu
Annuelle Outil gestion de projet Inventaire du parc applicatif transféré annexé à la conventionsystème
d’information de
la commune
C. Fourniture
des postes et
environnements
numériques de
travail /
assistance
utilisateurs
Engagement
3.1 :
Assurer le
renouvellement
des postes et
environnements
numérique de
travail (PENT)
Indicateur 3.1.1 : Taux
de modernisation du
parc des PENT actuels
Annuelle
Inventaire du
parc des
PENT
Renouvellement tous les 5 ans (+
ou – 2 ans selon les équipements et
les usages)
Engagement
3.2 :
Maintenir les
horaires
d’ouverture du
service
d’assistance
/support de la
commune
Indicateur 3.2.1 :
Heures d’ouvertures de
l’assistance / support
sur le niveau 1
Annuelle
Données
d’exploitation
du service
8h30 – 18h du lundi au vendredi
Engagement
3.3 :
Assurer la prise
en compte de la
demande ou de
l’incident dans
les meilleurs
délais
Indicateur 3.3.1 :
Délai de prise en
compte des demandes Mensuelle
ou
trimestrielle
Centre
d’assistance
et de support
utilisateurs
Les nouvelles demandes sont prises
en compte et traitées dans un délai
maximum de deux semaines.
Indicateur 3.3.2 :
Délai de résolution des
incidents par criticité
75% des incidents sont résolus lors
du premier appel au centre de
contact
D.
Hébergement,
exploitation et
maintien en
conditions
opérationnelles
(MCO) des
Engagement
4.1 :
Assurer la
disponibilité et
la continuité de
service des
applications et
Indicateur 4.1.1 :
Délai d’intervention
Mensuelle
ou
trimestrielle
Direction des
infrastructures
et de la
production
Selon la complexité : entre ½ journée
et 1 joursystèmes
d’information
services
métiers
critiques
Engagement
4.2 :
Assurer le
stockage et la
conservation
des données et
des
informations de
la commune
Indicateur 4.2.1 :
Délais de restauration
Annuelle
Direction des
infrastructures
et de la
production
Varie selon le support de sauvegarde
– entre ½ heure et 1 jour après prise
en compte du délai d’intervention
Indicateur 4.2.2 :
Durée maximum
d’enregistrement des
données qu’il est
acceptable de perdre
Une journée
*Sources : la commune justifie ici de la valeur du niveau de service atteint en année N (suivi d’activité automatisé, manuel, enquête de
satisfaction, certification…). Cf article 2 du contrat d’engagement.V/ Les engagements spécifiquement souscrits pour la conformité légale des traitements de données à caractère personnel dont la commune est « responsable de traitement »
Contexte
Le Règlement Général pour la Protection des Données (RGPD) 2016-679, du Parlement européen et
du Conseil du 27 avril 2016 relatif à « la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation de ces données », entre directement en
vigueur au sein de chaque état membre de l’Union Européenne le 25 mai 2018. Il vise à adapter le
droit et améliorer la protection de la vie privée et des libertés individuelles dans le cadre de la société
numérique, en intensifiant les obligations des opérateurs publics ou privés traitant des données à
caractère personnel. Ce règlement renforce notamment :
- Le marché commun de l’économie numérique, en harmonisant les législations des états
membres.
- Les droits et l’information des individus dont les données sont utilisées, leur reconnaissant
un véritable droit à « l’autodétermination informationnelle ». A ce titre, il accroît leurs droits
d’information, d’accès, de rectification, d’opposition, d’effacement et leur reconnaît de
nouveaux droits tels que la portabilité des données, permettant de faire transférer ses
données d’une entreprise à l’autre.
- Les obligations des acteurs intervenant sur les traitements, qu’ils agissent en qualité de
« responsables de traitements », définissant les finalités et les moyens d’un traitement ou de
« sous-traitants » intervenant directement ou indirectement sur ordre des premiers.
Tous, à égalité, sont désormais tenus de respecter les nouvelles exigences de sécurité imposant de
prendre en compte spécifiquement les risques pesant sur la vie privée des citoyens, avant la mise en
œuvre de chaque nouveau traitement ainsi que les exigences d’inventaire et de documentation de la
conformité des traitements.
V-a/ Définitions
En conformité avec les textes applicables il est défini que :
- Sont des « données à caractère personnel », toutes les informations se rapportant à une
personne physique dénommée « personne concernée », dès lors que celle-ci est identifiable :
o directement (nom prénom, photo, e-mail nominatif…)
o indirectement (numéro d’identification, données de localisation, données propres à son
identité physique, physiologique, génétique, psychique, économique, culturelle ou
sociale…)
- Constituent des « traitements de données à caractère personnel » toutes opérations portant
sur de telles données quel que soit le procédé utilisé : collecter, enregistrer, organiser, conserver,
modifier, combiner, transmettre…)- Sont concernés au premier chef les traitements informatisés, mais aussi les fichiers « papier »
s’ils constituent des traitements stables, organisés méthodiquement, accessibles selon des critères
déterminés (plan de classement, ordre alphabétique ou chronologique, formulaires nominatifs…).
- A qualité de « responsable de traitement » (RT), la personne physique ou morale qui détermine
les finalités et les moyens d’un traitement de données à caractère personnel considéré.
- Ont qualité de « responsables conjoints » les personnes qui définissent conjointement les
finalités et les moyens d’un tel traitement.
- A qualité de « sous-traitant », la personne physique ou morale qui traite les données pour le
compte du responsable de traitement. Le sous-traitant peut lui-même recourir à des « sous-traitants
ultérieurs » dans le respect de conditions contractuellement définies par le responsable de traitement.
- A qualité de « Délégué à la Protection des Données » d’un organisme (DPO), la personne
physique désignée par un acte formel du représentant légal de l’organisme, chargée de piloter et de
contrôler la conformité interne des traitements à la législation en vigueur.
- Sont qualifiées de « règles d’or » les principales obligations pesant sur le responsable de
traitement résumées comme suit :
1. Principe de licéité, de loyauté, de transparence du traitement
2. Principe de finalité déterminée, explicite, légitime de chaque traitement
3. Principe de minimisation des données collectées au regard des stricts nécessités du
traitement considéré
4. Principe d’exactitude des données impliquant leur rectification en tant que de besoin
ou leur suppression
5. Principe d’information des personnes dont les données sont traitées
6. Principe de sécurité et de confidentialité des données traitées
7. Principe de responsabilité imputant à chacun des acteurs intervenant dans le
traitement de données à caractère personnel, la réalisation de formalités et d’actions
spécifiques.
Par ailleurs il est précisé que l’autorité de régulation nationale est la CNIL (Commission Nationale
Informatique et Libertés)
V-b/ RGPD- Principes et responsabilités
Le RGPD tend à égaliser les responsabilités des responsables de traitement et sous-traitants,
susceptibles d’être conjointement engagées.
En contrepartie d’un allègement des formalités préalables, chaque acteur de la chaîne de traitement
est tenu de documenter précisément les actions prouvant la conformité au RGPD (principed’autorégulation), sachant qu’en cas de manquement constaté (contrôle CNIL aléatoire ou sur
réclamation ciblée) les sanctions financières potentielles sont considérablement renforcées.
Responsabilités communes aux responsables de traitement et sous-traitants
- Le RGPD leur impute en commun, l’obligation d’une mise en conformité « dynamique » des
traitements de données à caractère personnel (principe d’accountability).
Ainsi, par défaut, dès la conception, les traitements de données à caractère personnel doivent être
paramétrés pour fournir un niveau de sécurité adapté, en priorisant la protection de la vie privée. De
véritables « analyse d’impact sur la vie privée » peuvent être requises, ainsi qu’une saisine de la CNIL,
par exemple pour des traitements concernant des usages innovants, des données sensibles ou des
traitements à grande échelle (principes de security by default et privacy by design).
- Les autorités publiques, qu’elles soient responsables de traitement ou sous-traitant, doivent désigner
un Délégué à la protection des données ou « DPO » qui peut être commun à plusieurs organismes.
Il est chargé de veiller à la conformité au RGPD de l’ensemble des traitements mis en œuvre par
l’organisme qui l’a désigné.
Il doit disposer des compétences professionnelles requises et bénéficier de moyens et de ressources
adéquats.
- Chacun, responsable de traitement et sous-traitant, doit tenir un registre des traitements de données
à caractère personnel effectués. Celui-ci est à produire à toute demande des administrés ou à tout
contrôle de l’autorité nationale de régulation, la CNIL.
Celui-ci doit être adossé à des documentations techniques attestant de la conformité de chaque
traitement.
Le responsable de traitement recense notamment pour chaque traitement : les finalités, les données
collectées, les destinataires, les durées de conservation, les principales mesures de sécurité…
Le sous-traitant recense pour sa part, les catégories de traitement effectuées pour le compte de
chaque « responsable de traitement » ainsi que les principales mesures organisationnelles et
techniques liées à leur sécurité.
- De façon concertée, toutes les « failles de sécurité » doivent être identifiées pour permettre une
déclaration sous 72 heures à l’autorité de contrôle voire, une notification aux personnes concernées.
Elles sont également consignées par chacun dans un registre exhaustif.
Responsabilités propres au « responsable de traitement »
- Chaque responsable de traitement est tenu de mettre en œuvre les mesures organisationnelles et
techniques permettant d’assurer la conformité et la sécurité des traitements. Il demeure, tout au long
du cycle de vie du traitement, le premier garant du respect des « règles d’or ».
Il veille particulièrement à la bonne information des personnes concernées et à la bonne mise en
œuvre de leurs droits (droit d’information, d’accès, de rectification, d’opposition, à la limitation, à la
portabilité …).- En cas de responsables de traitements conjoints, ceux-ci doivent définir de façon transparente leurs
obligations respectives par voie d’accord écrit. Les personnes concernées pourront exercer leurs droits
à l’égard et à l’encontre de chacun d’eux.
- Le responsable de traitement ne recourt qu’à des sous-traitants aptes à appliquer les mesures
organisationnelles et techniques appropriées de manière à ce que le traitement soit conforme au
RGPD.
Tout recours à la sous-traitance fait l’objet d’un contrat écrit détaillant les instructions données au
sous-traitant qui ne doit agir que sur ordre du responsable de traitement.
Responsabilités propres au « sous-traitant »
Celui-ci a l’obligation de s’en tenir aux instructions documentées du responsable de traitement et de
prendre toutes les mesures de sécurité requises conformément à l'article 28 et 32 du RGPD. Il s'agit et
notamment de garantir des moyens permettant d'assurer la confidentialité, l'intégrité, la disponibilité
et la résilience constantes des systèmes et des services de traitement, afin de préserver les données
de tout accès non autorisé ou de toute perte ou destruction.
Il tient à la disposition du responsable de traitement toutes les documentations nécessaires pour
attester de la conformité et pour permettre la réalisation d’audits.
Il a un devoir d’aide et de conseil auprès du responsable de traitement, en vue de la conformité du
traitement au RGPD et un devoir d’alerte en cas de constat de non-conformité.
Il aide le responsable de traitement à répondre aux demandes des personnes concernées souhaitant
exercer leurs droits.
Il peut voir sa responsabilité engagée, notamment en cas de non-respect des obligations propres au
sous-traitant ou d’agissement en dehors des instructions du responsable de traitement.
Il ne recourt à des « sous-traitants ultérieurs » que sur autorisation écrite spécifique ou générale du
responsable de traitement. Il le tient informé et reste le garant de la conformité aux instructions, des
actions ainsi déléguées.
V-c/ Identification des acteurs dans le cadre de la mutualisation du Système d’information
Le rôle de « responsable de traitement » incombe en toutes hypothèses à la commune pour chacun
des traitements de données à caractère personnel mis en œuvre pour son compte.
La Métropole qui met le système d’information mutualisé dont elle est propriétaire à disposition des
agents des services communs ou des services municipaux utilisant des traitements pour le compte de
la commune, endosse selon le cas :
o le rôle de « responsable de traitement » pour les traitements qui lui sont propres,
o le rôle de « responsable conjoint » si elle a contribué à définir les finalités et les moyens du
traitement communal considéré en ayant qualité de pouvoir adjudicateur,o le rôle de « sous-traitant » pour les autres traitements communaux créés ou exploités via le
système d’information commun, sans qu’elle en ait défini les finalités et les moyens.
Des tiers, extérieurs à la commune et à Bordeaux Métropole, tels que des fournisseurs, prestataires,
délégataires, ou autres, sélectionnés ou désignés dans le respect des règles applicables à leur contrat,
peuvent également tenir un rôle de « responsables conjoints », de « sous-traitants » ou de « sous-
traitants ultérieurs » en fonction des cadres contractuels en cause.
Chaque entité, Commune ou Métropole, a l’obligation de désigner un « Délégué à la protection des
données » (DPO), chargé de veiller à la conformité des traitements de données à caractère personnel
de l’entité qui l’a nommé. Il peut être mutualisé entre la Commune et la Métropole, dès lors qu’il est
doté des compétences et des moyens nécessaires au bon exercice de ses missions.
Bordeaux Métropole, pour sa part, a désigné un DPO interne, mutualisé avec la ville de Bordeaux et le
Centre communal d’action sociale de cette ville.
Outre ses missions légales, il est chargé de la tenue des registres des traitements de ces entités.
Il doit impérativement être consulté avant mise en œuvre de tout nouveau traitement contenant des
données à caractère personnel.
D’une façon générale, il doit être associé « en temps utiles » à toute question relative à la protection
des données, tout au long de la mise en œuvre des traitements
Afin de faciliter la circulation des informations et des consignes, il s’appuie sur un réseau de
« correspondants RGPD » désignés au sein des directions générales et de chaque commune ayant
mutualisé son système d’information (à défaut, son interlocuteur est le DGS).
V-d/Les obligations spécifiquement souscrites
Le RGPD impose de définir de façon transparente les responsabilités respectives de chacun entre la
Commune, responsable de traitement, et Bordeaux Métropole, qui endosse, selon le cas, le rôle de
responsable de traitement conjoint ou de sous-traitant. Dans ce but il est expressément convenu ce
qui suit :
Les engagements constituant le « socle commun » à toutes les communes, membres du système
d’information mutualisé
- Le choix des sous-traitants (de premier rang ou de rang ultérieurs)
Afin de permettre la construction d’un système d’information mutualisé unitaire et rationnalisé, il est
convenu par les présentes, que la commune donne délégation générale à Bordeaux Métropole pour
sélectionner les sous-traitants fournisseurs ou prestataires, qu’il s’agisse de traitements exclusivement
communaux ou de traitements partagés entre les communes et Bordeaux-Métropole.
Bordeaux-Métropole s’engage en toutes hypothèses à communiquer à la commune toutes les
informations relatives aux prestataires concernés et au contenu des engagements souscrits.Dans l’hypothèse où la commune exprimerait un besoin spécifique différent de la solution mutualisée
ainsi offerte, et sous réserve d’un constat de faisabilité technique validé par les deux parties, il
appartiendrait à la commune d’en supporter spécifiquement le coût, et de se conformer au processus
standard d’acquisition applicable, conformément à l’article 6 des présentes.
- La gestion des demandes des personnes concernées, hors information concernant les
violations de données
Le délai de réponse à toute demande d’exercice de ses droits par une personne concernée (droit
d’information, d’accès, de rectification, d’opposition, à la limitation, à la portabilité …), est d’un mois
à compter de l’entrée en vigueur du RGPD.
Afin de respecter au mieux ce délai, Bordeaux Métropole est désignée responsable des relations avec
les usagers exerçant leurs droits. Elle se chargera de réunir les éléments nécessaires.
Préalablement à l’envoi de toute réponse, afin de tenir compte des observations de la commune, elle
se rapprochera des services communaux concernés par le traitement en cause et recueillera leurs
observations.
- L’information des usagers concernant les « violations de données »
Le RGPD définit un délai de 72 heures pour notifier à la CNIL les « violations de donnée » qui sont des
violations de sécurité susceptibles de porter atteintes aux droits et libertés des personnes concernées
(pertes de contrôle sur les données, discrimination, vol, usurpation d’identité, perte financière,
atteinte à la réputation…). Cette notification mentionne les mesures prises pour y remédier et en
atténuer les conséquences.
Tout retard doit être motivé auprès de la CNIL. En outre, s’il est estimé que la violation engendre un
risque élevé pour les personnes concernées, le responsable de traitement leur communique la
violation de données sans délai.
Toutes les violations, notifiées, ou non notifiées (en cas de constat de faible risque pour les droits et
libertés des personnes) sont consignées dans un registre, assorti de la documentation retraçant
l’ensemble des éléments attestant d’une gestion conforme au RGPD (délai de notification, éléments
d’analyse, choix des actions correctives, mesures adoptées pour pallier aux conséquences,
informations des personnes…)
La gouvernance de ce type d'incident à Bordeaux Métropole fait l'objet d'une procédure décrite dans
la PGSSI, impliquant le RSSI et le DPO.
Afin de gérer au mieux les incidents de cette nature touchant aux traitements de données à caractère
personnel communaux, dont la prise en charge au sein du système d’information mutualisé s’est
effectuée dans le respect des processus définis à l’article 6 des présentes, la commune convient de
confier l’intégralité des actions nécessaires pour gérer toute violation de données dans le respect du
RGPD, y compris, le cas échéant, l’information des usagers, à Bordeaux Métropole, via son RSSI qui
agira en collaboration avec le(s) DPO de Bordeaux Métropole et de la commune.Préalablement à l’envoi de toute réponse, le RSSI et le DPO de Bordeaux Métropole se rapprocheront
des services communaux concernés, pour recueillir leurs observations ou consignes et agir en
concertation.
- La désignation du DPO
En application du RGPD, chaque commune responsable de traitement est tenue de désigner un DPO à
compter du 25 mai 2018.
La commune a souhaité mutualiser cette fonction avec Bordeaux Métropole. Elle désigne dans les
formes requises et avec son accord le DPO concerné. Elle définit dans la lettre de mission qu’elle lui
notifie les modalités lui permettant d’assurer sa mission sur le périmètre de la totalité des traitements
communaux.
V-e/Processus d’acquisition des nouveaux traitements - mise en œuvre des obligations du RGPD
L’analyse des typologies de création ou d’acquisition de nouveaux traitements de données à caractère
personnel, depuis la mise en place de la mutualisation, révèle les trois hypothèses suivantes :
V-e/1- Expression d’un besoin incluant un traitement de données à caractère personnel, au sein d’un
« projet numérique » commandé via le service commun DGNSI
Conformément aux principes définis au paragraphe B II/ « Missions et activités mutualisées dans le
domaine Numérique et Systèmes d’Information supra, les commandes de projets numériques se
découpent en 3 phases :
- étude et conseil
- conduite de projet
- maintenance applicative
Conformément à la fiche technique intitulée « commande d’un projet numérique », un « diagnostic
d’architecture et de sécurité » est réalisé au cours de l’étape « étude et conseil », en amont de la
validation du projet et du lancement des procédures d’acquisition s’y rapportant.
Tout traitement de données à caractère personnel identifié au cours de cette phase implique la saisine
du DPO par le chef de projet informatique. Ainsi, lorsque le projet est validé, les procédures requises
par le RGPD peuvent être mise en œuvre de concert entre le service commun DGNSI et le ou les DPO
de la commune et de Bordeaux Métropole, avant la conception technique du projet (« privacy by
design »). La preuve de cette analyse est conservée en vue de documenter le registre et la produire en
cas de litige, ou à tout contrôle de la CNIL.
V-e/2- Expression d’un besoin incluant un traitement de données à caractère personnel au sein d’un
projet non identifié spécifiquement comme un projet numérique géré par la DGNSI, impliquant une
procédure contractuelle traitée par un service de la commande publique
Avec l’objectif d’une administration totalement dématérialisée pour 2023 et suite à l’ordonnance
2014-1330 imposant la saisine de l’administration par voie électronique, la part des projets de marchésd’acquisition, de fourniture, de services ou de travaux, ainsi que la part des délégations de service
public, qui comprennent un fort volet numérique, ne cesse de croître. Pour autant ces projets ne
constituent pas nécessairement, à titre principal, des projets numériques traités par la DGNSI.
Il appartient en conséquence aux agents chargés de la procédure initiale de mise en concurrence,
d’identifier la présence de données à caractère personnel au sein des traitements susceptibles d’être
mis en œuvre et de saisir la DGNSI ainsi que le DPO en amont de la rédaction des pièces du dossier de
mise en concurrence, conformément à une fiche technique intitulée « conformité au RGPD dans les
procédures contractuelles comportant un volet numérique ».
V-e/3- Questions ou usages soulevant des problématiques RGPD, impliquant une saisine préalable
du DPO
Les services communaux ou les services communs peuvent envisager :
- des projets d’évolution de traitements de données à caractère personnel existants (nouvelles
extractions pour des analyses prospectives, des croisements, des évolutions des
fonctionnalités ou de destinataires…).
- la création directe de nouveaux traitements (projets de traitements bureautiques, utilisation
de services gratuits en mode Saas par exemple pour des enquêtes d’opinion …).
Ces cas requièrent l’avis préalable du DPO, dès lors qu’ils concernent des données à caractère
personnel. Celui-ci orientera, si nécessaire, le demandeur, vers une demande de projet numérique
visée au V-e/1.
Conformément à la fiche technique intitulée « saisine directe du DPO », ces projets ne doivent pas être
mis en œuvre sans l’avis conforme du DPO de Bordeaux Métropole et de la commune qui l’inscrira
(ont) aux registres concernés.
Dans les trois cas présentés ci-dessus (V-e/1, V-e/2, V-e/3) dès lors que la création d'un traitement est
validée, les services communs et plus particulièrement la DGNSI ainsi que les directions et services
chargés de la commande publique, veilleront à la bonne mise en œuvre des différentes mesures
organisationnelles et techniques nécessaires pour garantir un niveau de sécurité des données adapté
au risque, conformément au RGPD et à la PGSSI du SI mutualisé.
V-f/Application du droit à l’effacement
Conformément au droit à l'oubli défini par le RGPD, les données ne peuvent être conservées sous une
forme permettant l'identification des personnes concernées que pour la durée nécessaire au regard
des finalités pour lesquelles elles sont traitées.
La procédure mise en œuvre à l’issue de la durée de conservation initiale prévue pour un traitement
consiste :
V-f/1- soit en l'effacement des données personnelles elles-mêmesV-f/2- soit en l'anonymisation des données rendant impossible toute identification des personnes
concernées
V-f/3- soit en l'archivage intermédiaire, pendant les durées nécessaires pour les besoins juridiques
(preuve, contentieux). Dans ce cas, l'accès aux données est restreint aux personnes habilitées à cette
unique fin, par des mesures techniques et organisationnelles appropriées. A l’issue de cet archivage
intermédiaires les données font l’objet des mesures prescrites aux articles V-f/1, V-f/2ou V-f/4
V-f/4--soit en l’archivage définitif des données, décidé par le Responsable de Traitement, dans le
respect du Code du patrimoine pour des fins archivistiques dans l'intérêt public, ou des fins de
recherche scientifique ou historique ou statistiques.
Concrètement, dès lors qu’un traitement a été mis en œuvre dans le respect de l’article V-e/ des
présentes, les options V-f/1, V-f/2 et V-f/3 sont appliquées par les services communs de Bordeaux
Métropole compétents, et notamment la DGNSI, selon les procédures internes applicables.
Dans l'hypothèse V-f/1, la commune pour laquelle ce traitement est mis en œuvre sera informée
préalablement à la date d'effacement prévue afin d'être en mesure de réitérer son accord pour cette
action.
Dans l’hypothèse où la commune envisage un archivage définitif de certaines données, il lui appartient,
dans le respect de l’article 89 du RGPD, de définir et de mettre en œuvre les moyens et procédures
nécessaires pour conserver les données et garantir le respect des droits et libertés des personnes
concernées.
V-g/ Gouvernance
Les instances de gouvernance de la sécurité du système d’information mutualisé, décrites au sein de
la PGSSI , qui est jointe au référentiel de documents permettent d’aborder les questions liées à la mise
en œuvre du RGPD. Trois instances y sont identifiées (comité stratégique de sécurité, comité de
pilotage de la sécurité, comité de suivi des actions récurrentes de sécurité).
La PGSSI précise qu’en cas de difficulté avérée entre les préconisations des services de Bordeaux
Métropole et les services de la commune, au sujet d’un traitement de données à caractère personnel
relevant de la commune, un arbitrage formalisé pourra être recherché auprès du Directeur Général
des Services communaux et du Directeur Général des Services de Bordeaux Métropole. L’avis de
l’Inspecteur Général des Service de Bordeaux Métropole pourra être également être recherché. Le cas
échéant, la CNIL pourra être interrogée.
V-h/ Auditabilite
Le RGPD prévoit que chaque sous-traitant met à la disposition du responsable de traitement toutes les
informations nécessaires pour démontrer le respect des obligations prévues par le RGPD et pour
permettre la réalisation d’audits y compris des inspections, par le responsable de traitement.Dans cette optique, Bordeaux Métropole tiendra à disposition de la commune tous les documents
(registre des traitements, registre des violations de sécurité, documentation technique…) afférents.
L’agent métropolitain, désigné « référent numérique » sera l’intermédiaire apte à expliquer et faciliter
la compréhension des éléments techniques pouvant être sollicités par la commune à ce sujet.
V-i/Sensibilisation des personnels
Des campagnes de sensibilisation ciblées seront progressivement organisées par Bordeaux Métropole
à compter du premier semestre de 2018, au profit de l’ensemble des agents des services communs.
Ces sessions seront ouvertes aux agents communaux concernés par le RGPD.
Elles seront articulées avec l’information relative à la politique générale de sécurité des systèmes
d’information.
Pour sa part, la commune s’assure que ses services disposent du niveau d’information et de
sensibilisation requis pour la bonne application du RGPD.
V-j/Limitation de la responsabilité contractuelle de Bordeaux Métropole
Conformément aux cas de figures décrits à l’art V-e/ supra, au titre du RGPD, il apparaît spécifiquement
que la responsabilité du Président de Bordeaux Métropole, dans le cadre de la mutualisation du
système d’information, peut ressortir, soit de la qualité de « responsable conjoint des traitements »,
soit de la qualité de « sous-traitant », vis-à-vis de chacun des traitements communaux s’appuyant sur
le système d’information mutualisé.
Le système d’information mutualisé constitue un outil commun, qui doit tendre vers la meilleure
qualité de services, et notamment la meilleure sécurité et la meilleure conformité aux règles de droit
applicables. Il est tenu de procurer un service de confiance aux élus, agents et usagers.
Ce faisant, les parties conviennent expressément, aux termes des présentes, que tout processus de
création ou d’acquisition d’un nouveau traitement de données à caractère personnel devra intervenir
dans le respect du référentiel documentaire et notamment des règles et processus standard décrits
aux termes de « fiches techniques ou de politiques spécifiques » ou autres documents techniques
collectivement applicables aux utilisateurs du système d’information, tels que visés à l’article 6 des
présentes et notifiés à la commune par courrier au directeur des services.
Ces règles et processus standard sont notamment destinées à permettre la bonne application du RGPD
et une bonne sécurité du système d’information.
En cas de non-respect par la commune des processus standardisés prédéfinis et notifiés à celle-ci,
Bordeaux Métropole dégage expressément toute responsabilité contractuelle et sera susceptible de
demander à celle-ci, réparation de tout débours qui résulterait d’une mise en œuvre de traitements
non conformes.V-k/Responsabilités afférentes aux traitements crées antérieurement à l’entrée en vigueur du
présent avenant
Avant l’entrée en vigueur du présent avenant, ou au plus tard avant le 31 décembre 2018, la commune
s’engage à faire réaliser et à fournir à Bordeaux Métropole, un état des lieux exhaustif des traitements
communaux de données à caractère personnel antérieurs, ici appelés « traitements communaux
antérieurs » transmis lors la mutualisation des services et encore actuellement utilisés pour son
compte par des agents communaux ou des agents des services communs. Ce document aura valeur
contractuelle.
Elle communiquera également les déclarations déjà réalisées auprès de la CNIL, ou la copie de son
registre.
Il lui appartient de s’assurer que les traitements communaux antérieurs, clos, sont traités
conformément aux dispositions de l’article 8 supra (Application du droit à l'effacement) et de déclarer
l’arrêt de ceux-ci auprès du DPO.
Il est expressément convenu que la responsabilité de Bordeaux Métropole ne peut être recherchée à
aucun titre que ce soit, concernant l’éventuelle non-conformité au RGPD des traitements communaux
antérieurs. La commune dédommagera en conséquence, Bordeaux Métropole, de tout débours ou
préjudice qui pourrait résulter d’une non-conformité au RGPD des traitements communaux antérieurs
concernés. Un plan d’action relatif aux traitements communaux antérieurs identifiés comme
nécessitant une requalification prioritaire sera définie conjointement.
La responsabilité de Bordeaux Métropole est engagée dès lors qu'un traitement communal antérieur
aura fait l'objet d'une évolution fonctionnelle demandée par la maîtrise d'usage, traitée par Bordeaux
Métropole selon un processus normalisé décrit à l’article 6 des présentes.