Offres
API
Connexion
Documents similaires
unknown - Métropole - Aix-Marseille-Provence - 2022 CT2 127
unknown - Métropole - Aix-Marseille-Provence - D0ALO
unknown - Métropole - Aix-Marseille-Provence - 9626
unknown - Métropole - Aix-Marseille-Provence - 150441
unknown - Métropole - Aix-Marseille-Provence - 10611
unknown - Métropole - Aix-Marseille-Provence - 149645
unknown - Métropole - Aix-Marseille-Provence - D003I
unknown - Métropole - Aix-Marseille-Provence - 140519
unknown - Métropole - Aix-Marseille-Provence - 147193 147195
unknown - Métropole - Aix-Marseille-Provence - 147193 153458
unknown - Métropole - Aix-Marseille-Provence - Convention de prestation de service PDL 2025 V3
Document publié le Jeudi 16 mars 2023
Lien du pdf (unknown - Métropole - Aix-Marseille-Provence - Convention de prestation de service PDL 2025 V3)
Thèmes du document : Données personnelles, Cybersécurité, Télécommunications et internet,
1
CONVENTION DE PRESTATIONS DE SERVICE
ENTRE LA MÉTROPOLE AIX-MARSEILLE-PROVENCE
ET LA COMMUNE D’AIX-EN-PROVENCE
POUR L’INSTRUCTION DES AUTORISATIONS PREALABLES
A LA MISE EN LOCATION DE LOGEMENTS
Entre
La Métropole Aix-Marseille Provence, dont le siège est sis 57 boulevard Charles Livon, 13007 Marseille,
Représentée par sa Présidente, ou son représentant, dûment habilitée à cette fin par délibération du Conseil de la Métropole du 16 mars 2023.
Désigné ci-après "La Métropole",
D’une part
Et
La commune d’Aix-en-Provence, dont le siège est Hôtel de Ville, CS30715 13616 AIX-EN-PROVENCE,
Représentée par Madame Sophie JOISSAINS, Maire, dûment habilité à l’effet des présentes par délibération du conseil municipal n° DL.2023-47 du 20 janvier 2023,
Ci-après dénommée « La Commune »,
Ensemble dénommées « Les Parties ».
D’autre part
Vu le Code général des collectivités territoriales notamment ses articles L.5211-17, L.5211-4-1, L.5215-27 et L.5216-7-1,
Vu le Code de la construction et de l’habitation notamment ses articles L.635-1 à L.635-11 ; Vu la délibération du conseil municipal d’Aix-en-Provence en date du 20 janvier 2023 approuvant l’instauration du régime d’autorisation préalable à la mise en location, ainsi que son périmètre, Considérant que la Métropole a adopté une stratégie territoriale durable et intégrée de Lutte contre l’Habitat Indigne,
Considérant que l’autorisation préalable à la location (« permis de louer ») est l’un des outils de lutte contre les marchands de sommeil et le mal logement. 2
PREAMBULE
Instauré depuis la loi ALUR pour l’accès au logement et un urbanisme rénové n° 2014-366 du 24 mars 2014 (art. 92 et 93/Code de la Construction et de l'Habitation (CCH) : L.634-1 à L.635-11), l’autorisation préalable à la location (permis de louer) permet aux EPCI et communes de définir des secteurs géographiques et des catégories de logements pour lesquels les propriétaires doivent demander une autorisation préalable de mise en location ou effectuer une déclaration de mise en location (Décret n°2016-1790 du 19 décembre 2016).
Aux termes des articles L. 635-3 et L. 635-4 et R. 635-1 et R. 635-2 du code, la mise en location d'un logement situé dans les zones soumises à autorisation préalable de mise en location est subordonnée à la délivrance d'une autorisation par le président de l’EPCI.
La commune d’Aix-en-Provence a sollicité la Métropole afin de mettre en œuvre ce dispositif sur la résidence des Facultés.
Afin de permettre la mise en œuvre de ce dispositif il est donc nécessaire de disposer du concours de la commune concernée, par convention, conformément à l'article L.5215-27 du Code Général des Collectivités Territoriales (CGCT), pour la mise en œuvre opérationnelle, l’exécution et le suivi du dispositif.
Par délibération du Conseil Municipal du 20 janvier 2023, la commune a officialisé sa volonté de mettre en place le régime d’autorisation préalable de mise en location, pour accentuer son action de lutte contre l’habitat indigne sur l’ensemble du territoire communal.
Par délibération n°CHL-002-13588/23/CM du Conseil de la Métropole du 16 mars 2023, la Métropole a instauré, à titre expérimental pour une durée de 24 mois à compter du 30 septembre 2023, le dispositif d’autorisation préalable de mise en location ou en relocation de logements vides ou meublés à usage de résidence des Facultés, au 31 Avenue de l’Europe.
La ville d’Aix-en-Provence souhaite en effet assurer un logement digne et décent aux locataires, renforcer ses actions préventives de lutte contre l’habitat indigne et les marchands de sommeil, et offrir une meilleure qualité de vie à ses administrés. Pour cela, elle décide de poursuivre et pérenniser ce dispositif, complémentaire à son action globale contre le mal-logement, selon les mêmes modalités, sur l’ensemble immobilier « Résidence Les Facultés » a été construit au début des années 1970 sur la parcelle cadastrée section CO n° 36, d’une superficie de 5 677 m².
Il se situe dans le quartier d’Encagnane, quartier prioritaire de la politique de la ville retenu dans le cadre du NPNRU. La résidence est constituée de 502 studios ; seuls 2 % de copropriétaires y résident. Son état s’est progressivement dégradé ces quinze dernières années sur les plans financier (hausse des dépenses et impayés, dettes fournisseurs importantes), social (paupérisation de l’occupation, multiplication des situations de sur occupation et de squats) et technique (absence d’entretien des parties communes et de programmation de travaux sur les équipements essentiels à la sécurité des personnes).
Par arrêté préfectoral du 24 août 2015, il a été ainsi décidé de la création de la commission chargée de l’élaboration du Plan de Sauvegarde (PDS) de la « résidence Les Facultés ». 3
La Ville d’Aix-en-Provence a décidé d’approuver le Plan de Sauvegarde de la Résidence des Facultés par délibération n° DL.2022-411 du 13 décembre 2022.
La Résidence des Facultés fait l’objet d’une dizaine de signalements par an pour des problèmes d’indécence et d’insalubrité.
ARTICLE 1 : OBJET DE LA CONVENTION
La Métropole confie à la Commune d’Aix-en-Provence la réalisation, en son nom et pour son compte, des prestations d’instruction des demandes d’autorisation préalable à la mise en location « permis de louer » sur le territoire communal, selon les modalités ci-après précisées. Sauf indication contraire, les dispositions du CGCT et du CCH seront appliquées.
La présente convention est conclue en application des dispositions de l’article L.5215-27 du CGCT.
Les modalités de mise en œuvre de ce dispositif, relatif au régime d’autorisation préalable de mise en location, sont définies par le décret n°2016-1790 du 19/12/2016), réceptionné dans la partie réglementaire du CCH aux articles R. 635 -1à R. 635-4.
La demande d’autorisation est déposée par le(s) bailleur(s) ou leur mandataire par formulaire CERFA n°15652*01. Cette demande pourra être adressée par voie électronique. Elle sera accompagnée obligatoirement des diagnostics techniques prévus à l’article 3-3 de la loi du 6 juillet 1989 (notamment, l’état des risques naturels et technologiques ; le diagnostic de performance énergétique ; le constat des risques d'exposition au plomb ; l'état de l'installation intérieure d'électricité et de gaz).
À son dépôt, la demande d’autorisation donne lieu à la remise d’un récépissé mentionné aux articles L.112-3 et R.112-6 du Code des Relations entre le Public et l’Administration. L’autorisation préalable est délivrée expressément dans un délai d’un mois à compter du dépôt de la demande, à défaut le silence de l’autorité compétente vaut autorisation tacite.
L’instruction comprend la visite du logement par un technicien dédié.
L’autorisation préalable de mise en location peut être refusée ou soumise à condition lorsque le logement ne répond pas aux normes de décence définies par le décret 2002-120 du 30 janvier 2002 modifié le 1er juillet 2018 ou est susceptible de porter atteinte à la sécurité des occupants et à la salubrité. Le cas échéant, la décision est motivée et précise la nature des travaux ou aménagements prescrits pour satisfaire aux exigences de la sécurité et de la salubrité.
L’autorisation préalable ne peut pas être délivrée lorsque l’immeuble dans lequel est situé le logement fait l’objet d’un arrêté d’insalubrité, de péril ou relatif à l’équipement commun des immeubles collectifs à usage principal d’habitation.
La décision de rejet est transmise à la Caisse d’Allocations Familiales et aux services fiscaux, et au Plan Départemental de lutte contre l’Habitat Indigne.
Une fois obtenue, l’autorisation doit être jointe au contrat de location à chaque nouvelle location ou relocation.
L’autorisation est valable deux ans suivant sa délivrance si le logement n’a pas été remis en location. 4
Le transfert de l’autorisation à un nouvel acquéreur s’effectue par l’autorité compétente et la demande d’autorisation devra être renouvelée à chaque nouvelle location.
L’autorisation de louer est inopposable aux autorités publiques chargées d’assurer la police de la salubrité ou de la sécurité des bâtiments, ainsi qu’au droit afférent aux mesures administratives.
L’absence d’autorisation préalable est sans effet sur le bail dont bénéficie le locataire. Le fait de mettre en location un logement sans avoir préalablement déposé la demande d’autorisation, ou en dépit d’une décision de rejet, est sanctionné par une amende variant entre 5 000 euros et 15 000 euros qui tiendra compte de la gravité des manquements.
Conformément à la loi Habitat dégradé du 11 avril 2024 la Métropole exerce dorénavant les pouvoirs de sanction du permis de louer. Le paiement de l’amende est ordonné par la Métropole dans le délai d’un an à compter de la constatation des manquements.
ARTICLE 2 : PERIMETRE
Le périmètre soumis à demande d’autorisation préalable de mise en location dont la Commune d’Aix-en-Provence assure les tâches d’instruction est celui fixé par délibération du Conseil de la Métropole du 16 mars 2023, le cas échéant complété ou modifié par des délibérations ultérieures.
ARTICLE 3 : MODALITES D’EXECUTION
ARTICLE 3-1 : OBLIGATIONS DE LA METROPOLE
La Métropole au titre de sa compétence, assure la coordination d’ensemble du projet : communication globale, animation des groupes de travail, information et veille, lien avec les partenaires, mise à disposition des outils. Elle est garante du respect des délais définis par la loi et assure la notification des décisions.
La Métropole aura à charge de mettre en place une application d’instruction et de gestion des dossiers de demande, à en assurer la maintenance et à développer des interfaces de l’outil dont seraient déjà dotées les communes.
La Métropole s’engage à mettre en œuvre les sanctions en cas de mise en location d’un logement sans autorisations préalables ou ayant fait l’objet d’une décision de rejet.
La Métropole s’engage à assurer la gestion des contentieux relatifs à la légalité des actes qu’elle aura pris, pouvant intervenir devant les tribunaux dans le cadre de la mise en œuvre de la déclaration de mise en location et/ou de l’autorisation préalable à la mise en location.
ARTICLE 3-2 : OBLIGATIONS DE LA COMMUNE 5
Les demandes d’autorisation préalable à la mise en location seront adressées en mairie par voie électronique à l’adresse : permisdelouer@mairie-aixenprovence.fr ou à l’accueil de l’urbanisme (accueil physique du lundi au vendredi de 8h à 12h00) rue Loubet à Aix-en-Provence. Ou bien de façon dématérialisée à partir du site Internet de la Métropole via le lien : https://ampmetropole.fr/missions/habitat-logement/politiques-de-l-habitat/le-permis-de-louer- un-dispositif-pour-ameliorer-lhabitat/
Lorsque le logiciel d’instruction de la Métropole, ESABORA, sera déployé, la commune devra l’utiliser pour l’ensemble des missions qui lui sont conférées.
La ville d’Aix-en-Provence assurera les différentes missions nécessaires au processus d’instruction, à savoir :
➢ L’accueil et l’information de tout propriétaire souhaitant déposer une demande d’autorisation préalable d’un logement,
➢ La réception des demandes d’autorisation préalable pour la mise en location des logements et notamment la remise d'un accusé de réception des demandes d'autorisation transmises dans le cadre de la présente convention,
➢ Les visites des logements pour en réaliser le diagnostic technique, évaluer la décence et la salubrité, en référence à une grille d’évaluation et éventuellement, prescrire des travaux, de mise aux normes de décence respectant le RSD, ou des travaux de mise en sécurité et/ou salubrité. Cette visite est réalisée dans un délai compatible avec la transmission du rapport de visite visé ci-dessous.
➢ La rédaction d’un rapport de visite avec proposition d’avis favorable, défavorable ou sous conditions de mise en décence. Cette transmission devra être opérée au plus tard 20 jours calendaires suivant la date de la remise du récépissé au dossier complet de demande préalable d’autorisation. Les avis seront signés par la Présidente de la Métropole ou son délégataire.
- Avis favorable : délivrance d’une autorisation de mise en location.
- Avis favorable sous conditions : l’autorisation préalable de mise en location est conditionnée par la réalisation de travaux dans un délai maximal de six mois à compter de leur notification, délai au-delà duquel l’autorisation sous conditions deviendra automatiquement caduque. En attendant la réalisation des travaux et la délivrance d’un avis favorable, le logement ne doit pas être loué. Les travaux seront soumis à une visite de contrôle avant toute mise en location.
- Avis défavorable : refus motivé de mise en location de logement précisant la nature des travaux ou aménagements prescrits pour satisfaire aux exigences de sécurité et de salubrité. Il est interdit de louer le logement en l’état. Il conviendra de déposer une nouvelle demande d’autorisation préalable de mise en location en location en ayant, auparavant, réalisé les travaux nécessaires.
➢ Le suivi de la régularisation de leurs situations par les propriétaires dont il a été constaté le manquement aux obligations résultant du régime d’autorisation préalable. 6
3.2.1 Personnels, services et moyens matériels
La Commune est seule responsable de la détermination du nombre de personnels affectés pour l’exercice des missions confiés, pour autant elle doit veiller à missionner ses agents en nombre suffisant pour répondre, dans les délais impartis, à toutes les demandes d’autorisation. Les parties conviennent que la correcte réalisation de ces prestations nécessitent à minima de disposer de :
- 2 agents des services de santé environnementale disposant de compétences en matière d’hygiène et salubrité, et formés aux problématiques d’habitat indigne
- 2 agents pour la gestion et le suivi administratifs des dossiers
La Commune est libre de désigner ceux de ses agents qui travailleront sur les dossiers transmis. Elle s’assure que l’exécution de la prestation par les agents missionnés respectent les règles déontologiques qui s’imposent, qu’elle ne peut conduire la Commune ou l’agent missionné dans une situation de conflit d’intérêt de toute nature ou à la commission d’une illégalité ou d’une infraction.
Il est précisé que les agents exerçant tout ou partie de leurs activités dans le cadre de cette convention demeure sous l’autorité hiérarchique du maire et sous son autorité fonctionnelle.
Il est également précisé que la réalisation de la prestation de la présente convention emporte également mise à disposition des matériels de travail et de locomotion des agents missionnés par la Commune.
3.2.2 Communication
La Métropole s’engage à proposer les différents supports de communication nécessaires pour diffusion auprès des propriétaires du périmètre et des partenaires du dispositif (agences immobilières, notaires…).
La Commune s’engage à relayer cette communication : notamment au travers des moyens suivants : magazine municipal, site internet, réseaux sociaux, supports de communication spécifiques, réunions publiques…
3.2.3 Suivi et Evaluation
Des réunions de suivi, auxquelles participeront le Service Amélioration et Développement de l'Habitat de la Métropole, la Direction de l’Aménagement et de l’Habitat de la Ville d’Aix, et la Direction Santé Publique et Handicap se tiendront au minimum 3 fois par an, ou plus selon le besoin, afin d’évaluer l’avancement des missions, améliorer la mise en œuvre de la convention, et faciliter la coordination des différents acteurs concernés.
La transmission à la Métropole Aix-Marseille-Provence d’une actualisation trimestrielle d’un état non nominatif des demandes d’autorisations déposées et des indicateurs dont la liste figure en annexe de la présente convention permettant de suivre l’évolution du dispositif doit être réalisée par la Commune. 7
Et de plus il sera organisé une réunion annuelle avec le service SADH et la Commune afin de dresser le bilan et d’évaluer l’efficacité et la cohérence du dispositif au regard des objectifs de lutte contre l’habitat indigne. Le suivi et l’évaluation seront fondés sur des indicateurs quantitatifs et qualitatifs qui auront été définis au préalable entre les deux parties.
ARTICLE 4 : CONDITIONS FINANCIERES
Il est convenu et accepté par les deux parties que la Métropole rémunérera les missions exercées par la commune en lui versant une somme déterminée en fonction du nombre d’actes instruit selon un forfait de 70 € par acte instruit.
Ce forfait comprend toutes les étapes de l’instruction des demandes d’APML depuis l’accueil et l’information des propriétaires, la réception des demandes d’autorisation préalable, la visite des logements pour en réaliser le diagnostic technique, et la rédaction d’un rapport de visite avec proposition d’avis.
Si plusieurs visites s’avèrent nécessaires pour rédiger l’avis, il ne sera comptabilisé qu’un seul acte instruit.
Seront facturés les dossiers dont l’avis (favorable, favorable sous condition, refus) est envoyé au propriétaire au plus tard le 31 décembre de l’année facturée.
Les dossiers ayant fait l’objet d’une autorisation tacite ou d’un retrait en cours d’instruction ne pourrons pas être considérés comme étant instruits.
Le montant des dépenses, par application du coût unitaire visé ci-dessus, afférentes à l'activité induite par le service pour la commune au cours de l'année calendaire, déterminée en fonction du nombre d'actes instruits, sera communiqué pour paiement, à la Métropole dans le courant du 1er trimestre de l'année suivante.
ARTICLE 5 : FACTURATION ET PAIEMENT
Les modalités de facturation sont envisagées comme ci-dessous :
La commune se chargera de produire et de transmettre un état annuel à la Métropole, avant le 31/03 de l’année en cours, pour l’année échue. Cet état détaillera le nombre de demandes instruites par la commune ainsi que le coût unitaire de ces prestations.
La Commune émettra un titre annuel du montant des prestations réalisées. La Métropole procèdera ensuite au remboursement forfaitaire des prestations exécutées par la Commune par émission d’un mandat.
Aucune avance ne sera versée.
ARTICLE 6 : RESPONSABILITES
La décision prise à l’issue de l’instruction d’une autorisation doit être signée par le président de la Métropole ou par son représentant et engage la responsabilité de la Métropole. 8
En cas de désaccord entre la Métropole et la commune, une commission de conciliation permet une explication et un arbitrage de la décision finale.
Le Maire demeure entièrement responsable au titre des pouvoirs de police relevant de sa compétence. Il veille également à la bonne exécution des prestations confiées aux services de la Commune et de manière générale au respect de la présente convention.
ARTICLE 7 : ASSURANCES
La Métropole et la commune s’engagent à contracter les polices d’assurance nécessaires pour garantir les risques liés à l’exécution des missions prévues par la présente convention.
ARTICLE 8 : PROTECTION DES DONNES A CARACTERE PERSONNEL DES PERSONNES PHYSIQUES
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement des données à caractère personnel et, en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable depuis le 25 mai 2018.
L’annexe n°3 traite en détail les rôles et obligations de chacune des Parties.
ARTICLE 9 : ENTREE EN VIGUEUR ET DUREE DE LA CONVENTION
La présente convention prendra effet au jour de sa signature par les deux parties et est établie pour une durée de 2 ans, renouvelable par tacite reconduction une fois pour une durée identique, soit une durée maximale de 4 ans, sauf en cas de résiliation, selon les modalités décrites ci-après.
ARTICLE 10 : FIN DE LA CONVENTION
La convention peut être dénoncée par chacune des parties à tout moment par l’envoi d’un courrier recommandé avec accusé de réception.
La présente convention pourra être dénoncée de droit par la Commune, en cas de délégation de l’EPCI de la gestion du dispositif du permis de louer à la Commune, suite à l’adoption du PLH Métropolitain en date du 22 février 2024.
Les parties ont la faculté de résilier la présente convention en cas d’impossibilité de l’une ou l’autre à tenir ses engagements ou en cas de non-respect par l’une ou l’autre de ses engagements et après mise en demeure.
La résiliation à l’initiative de la commune ne peut être décidée que par une délibération exécutoire, et ne pourra intervenir avant l’expiration d’un délai de 30 jours, courant à compter de la notification de ladite décision à la Métropole. 9
En cas de résiliation à l’initiative de la Métropole motivée par le non-respect par la commune des obligations prévues à la présente convention, la résiliation de la convention pourra être décidée après mise en demeure notifiée à la Commune d’avoir à se conformer aux obligations contractuelles dans un délai de 15 jours et demeurée infructueuse. Cette résiliation entrainera l’abandon de la prestation de services.
L’exercice de ce droit contractuel n’ouvre droit à aucune indemnisation pour l’une ou l’autre des parties.
La décision de résiliation, le cas échéant, ne prive en rien les parties de leur faculté de recours réciproques ou d’appel en garantie au titre d’un manquement dans l’exercice de leurs obligations contractuelles.
ARTICLE 11 : LITIGES
Les parties s’engagent, en cas de litige sur l’interprétation ou sur l’application de la présente convention, à rechercher toute voie amiable de règlement avant de soumettre le différend au tribunal administratif compétent.
Tout litige inhérent à l’exécution de la présente convention ressortira à la compétence d’attribution du Tribunal Administratif de Marseille, 22-24 rue Breteuil, 13281 Marseille Cedex 06.
ANNEXES
Périmètre
Indicateurs
« Sécurité et Traitement des données » & « Plan d’Assurance Sécurité »
FAIT EN 2 EXEMPLAIRES ORIGINAUX
A Aix-en-Provence, le ………......….….2025 A Marseille, le ……………….2025
Pour la Commune d’Aix-en-Provence Pour la Métropole Aix-Marseille Provence 10
Annexe n°1 - Périmètre : parcelle cadastrée CO36 sise au 31 avenue de l’Europe 11
Annexe n°2 - Indicateurs quantitatifs et qualitatifs
Les données et informations quantitatives et qualitatives suivantes seront à renseigner sous réserve de la
disponibilité de la donnée et des partenariats établis.
Indicateurs de suivi :
Pour évaluer le respect des dispositions réglementaires par les propriétaires et la typologie des logements
pour lesquels il est demandé :
- Nombre de demandes d’autorisation de mise en location par mois,
- Typologie des logements pour lesquels l’autorisation est demandée
Pour évaluer le caractère préventif du dispositif :
- Nombre de permis de louer ayant entraîné une procédure administrative,
- Nombre d’autorisations / refus / accords sous réserve donnés,
- Si refus, nombre de dossiers transférés à la CAF pour suivi des adresses,
- Nombre de logements dans lesquels des travaux ont été réalisés,
- Nombre de locations constatées sans APML,
- Nombre de demandes hors périmètres,
- Nombre de refus de visite par les propriétaires,
- Description de la manière dont on contrôle l’effectivité des travaux,
- Type de travaux prescrits.
-Pour évaluer la dimension coercitive du dispositif :
- Articulation du dispositif avec les arrêtés de péril et de salubrité,
- Nombre de signalements
- Nombre de sanctions appliquées
- Montant des amendes.
Pour évaluer les moyens du service dans la mise en œuvre du « permis de louer » :
- Nombre d’agents voire de services mobilisés (préciser lesquels),
- Nombre de visites effectuées,
- Temps moyen par dossier,
- Description d’autres moyens employés. 12
Indicateurs optionnels :
Pour évaluer la qualité des partenariats dans le cadre de la mise en œuvre du « permis de louer » :
- Fréquence des temps d’échange avec les partenaires,
- Communication mise en place autour du dispositif envers les propriétaires et autres acteurs,
· (Agences immobilières, notaires...),
- Supports de communication utilisés,
- Points forts/ faibles / axes d’amélioration,
- Indication des éventuelles modalités d’amélioration des relations avec l’ensemble des partenaires. 13
Annexe n°3 - « Sécurité et Traitement des données » & « Plan d’Assurance Sécurité »
RSSI / DPO
ANNEXE SÉCURITÉ ET
PROTECTION DES
DONNÉES
Adresse(s) mail de contact pour les notifications
relatives à la protection des données (articles 5.3
à 5.5) :
- …………………….@ampmetropole.fr
- …………………….@ampmetropole.fr 14
Contenu
1. Objet ...........................................................................................................................................................15
2. Organisation de la sécurité.........................................................................................................................15
3. Cycle de vie des mesures de sécurité........................................................................................................15
4. Auditabilité ..................................................................................................................................................16
5. Obligations de la commune ........................................................................................................................16
5.1. Obligations générales ............................................................................................................................16
5.2. Sous-traitance ........................................................................................................................................17
5.3. Droit d’information des personnes concernées......................................................................................17
5.4. Exercice des droits des personnes ........................................................................................................17
5.5. Notification des violations de données à caractère personnel...............................................................18
5.6. Aide de la commune dans le cadre du respect par la Métropole de ses obligations .............................19
5.7. Mesures de sécurité...............................................................................................................................19
5.8. Sort des données ...................................................................................................................................19
5.9. Délégué à la protection des données ....................................................................................................19
5.10. Registre des catégories d’activités de traitement ..................................................................................19
6. Management de la SSI de la commune .....................................................................................................20
6.1. Sécurité des ressources humaines ........................................................................................................20
6.2. Sécurité des infrastructures ...................................................................................................................20
6.2.1. Cartographie du service ....................................................................................................................20
6.2.2. Accès logiques ..................................................................................................................................21
6.2.3. Cloisonnement...................................................................................................................................21
6.2.4. Sécurité des serveurs ........................................................................................................................21
6.2.5. Sécurité des postes ...........................................................................................................................21
6.2.6. Supervision de la sécurité .................................................................................................................21 15
1. Objet
Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable
au traitement en matière de sécurité des systèmes d’information et de protection des données à caractère personnel et,
en particulier, le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 applicable à compter du
25 mai 2018 (ci-après, « le règlement européen sur la protection des données »).
Le présent document décrit les dispositions que la commune doit mettre en œuvre pour répondre aux exigences de
sécurité de la Métropole Aix-Marseille-Provence.
Il est complété par le document PAS – Plan d’assurance sécurité et qui précise l’organisation qui sera mise en place, la
méthodologie à suivre pour gérer la sécurité du projet et les mesures techniques et organisationnelles qui seront mises en
œuvre par la commune.
2. Organisation de la sécurité
La Métropole désigne un interlocuteur responsable de la sécurité du projet. Cet interlocuteur unique sera rattaché
directement au directeur de projet. Cet interlocuteur sera responsable de l’ensemble de la sécurité du projet pour la
Métropole, tant sur les aspects sécurité du système d’information cible que sur les aspects sécurité des interfaces avec la
commune.
Le responsable de la sécurité désigné par la Métropole a pour mission de faciliter les relations entre les différents
intervenants, et de mettre à disposition de la maîtrise d’œuvre l’ensemble des documents nécessaires au bon déroulement
du projet sécurité lié à l’opération d’externalisation : politique de sécurité interne de la Métropole, documentation technique
du système (documents d’architecture, documents d’exploitation, etc.), spécifications, etc.
Il a également pour mission de s’assurer de la prise en compte globale de la sécurité, par la maîtrise d’ouvrage et la
maîtrise d’œuvre.
Il décide de la conduite à tenir selon le résultat des audits, des incidents ou des conseils remontés par la commune
d’externalisation.
Il valide l’ensemble des actions réalisées au titre de la gestion de la sécurité du projet.
En tant que maître d’œuvre, la commune désigne un interlocuteur responsable de la sécurité, pilotant l’ensemble de la
sécurité du projet : sécurité des développements, sécurité du système d’information cible et intégration des composants
sécurité.
Elle conseille la Métropole dans son approche de la sécurité du projet, selon les audits, les incidents perçus sur le système
ou les évolutions du contexte opérationnel.
3. Cycle de vie des mesures de sécurité
La commune est responsable de l’organisation de sa sécurité pour répondre aux exigences de la Métropole pendant toute
la durée de la convention.
Voici une liste (non exhaustive) des situations susceptibles d’entraîner une modification de l’organisation de la sécurité de
la commune :
▪ évolution du système d’information (configuration logicielle ou matérielle) ;
▪ évolution de l’environnement du système d’information (locaux, personnels, procédures, etc.) ;
▪ évolution législative ou réglementaire ;
▪ évolution du périmètre de l’opération.
En cas d’évolution, la commune vérifie si l’organisation de sa sécurité doit être modifiée. Si tel est le cas, elle propose une
modification à la Métropole. Le cas échéant, cette modification est approuvée par avenant. 16
4. Auditabilité
La commune met à la disposition de la Métropole la documentation nécessaire pour démontrer le respect de toutes ses
obligations et pour permettre la réalisation d'audits, y compris des inspections, par la Métropole ou un autre auditeur qu'elle
a mandaté, et contribuer à ces audits.
Cet audit est réalisé sur l’ensemble du périmètre la convention et sur les services de la commune en lien avec ce contrat.
Il peut prendre la forme d’audits documentaires, d’interviews et/ou de tests d’intrusion.
La commune doit se rendre disponible lors de ces audits et donner aux auditeurs l’accès à l’ensemble des éléments
nécessaires.
Le rapport d’audit sera transmis à la commune par la Métropole.
La commune devra fournir dans le mois suivant la transmission du rapport d’audit un plan d’actions détaillé pour couvrir
les non-conformités identifiées dans cet audit ou justifier de leur acceptation.
5. Obligations de la commune
5.1. Obligations générales
La commune est tenue à une obligation de conseil, de mise en garde et de recommandations en termes de sécurité et de
mise à l’état de l’art. En particulier elle s’engage à informer la Métropole des risques d’une opération envisagée, des
incidents éventuels ou potentiels, et de la mise en œuvre éventuelle d’actions correctives ou de prévention.
Outre le respect de ses obligations au titre de la convention, la commune informera préalablement la Métropole de toute
opération susceptible de provoquer l’indisponibilité (ou une dégradation des performances) du système.
La commune est responsable du maintien en condition de sécurité du système pendant toute la durée des prestations.
Les mécanismes de sécurité mis en œuvre doivent évoluer conformément à l’état de l’art : la découverte de failles dans
un algorithme, un protocole, une implémentation logicielle ou matérielle, ou encore l’évolution des techniques de
cryptanalyse et des capacités d’attaque par force brute doivent être pris en compte.
La commune s'engage à :
- traiter les données uniquement pour la ou les seule(s) finalité(s) qui fait/font l’objet de la convention ;
- traiter les données conformément aux instructions de la Métropole ;
Si la commune considère qu’une instruction constitue une violation du règlement européen sur la protection des
données ou de toute autre disposition du droit de l’Union ou du droit des Etats membres relative à la protection
des données, il en informe immédiatement la Métropole.
En outre, si la commune est tenu de procéder à un transfert de données vers un pays tiers ou à une organisation
internationale, en vertu du droit de l’Union ou du droit de l’Etat membre auquel il est soumis, il doit informer la
Métropole de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information
pour des motifs importants d'intérêt public ;
- garantir la confidentialité des données à caractère personnel traitées dans le cadre du présent marché ;
- veiller à ce que les personnes autorisées à traiter les données à caractère personnel en vertu du présent marché :
- s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité,
- reçoivent la formation nécessaire en matière de protection des données à caractère personnel ;
- prendre en compte, s’agissant de ses outils, produits, applications ou services, les principes de protection des données
dès la conception et de protection des données par défaut. 17
5.2. Sous-traitance
Le sous-traitant de la commune est tenu de respecter les obligations du présent contrat pour le compte et selon les
instructions de la Métropole. Il appartient à la commune de s’assurer que le sous-traitant présente les mêmes garanties
suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le
traitement réponde aux exigences du règlement européen sur la protection des données. Si le sous-traitant ne remplit pas
ses obligations en matière de protection des données, la commune demeure pleinement responsable devant la Métropole
de l’exécution par le sous-traitant de ses obligations.
La commune veille à la bonne prise en compte des principes et exigences de sécurité de la Métropole pour ses sous-
traitants et notamment :
▪ Du respect des réglementation nationales et internationales :
o Le RGPD
o Le RGS
▪ De la mise en œuvre chez le sous-traitant d’une démarche SSI cohérente avec les exigences de la PSSIE
▪ De la présence chez son sous-traitant d’un responsable de la sécurité
▪ De l’existence d’un processus de gestion des alertes et incidents de sécurité informatique
▪ De l’existence d’un processus de gestion de la continuité d’activité
5.3. Droit d’information des personnes concernées
Dans le cas où la commune procède à la collecte des données pour le compte du responsable de traitement, la commune,
au moment de la collecte des données, doit fournir aux personnes concernées par les opérations de traitement l’information
relative aux traitements de données qu’elle réalise. La formulation et le format de l’information doit être convenue avec le
responsable de traitement avant la collecte de données.
Dans les autres cas, il appartient au responsable de traitement de fournir l’information aux personnes concernées par les
opérations de traitement au moment de la collecte des données.
5.4. Exercice des droits des personnes
Dans la mesure du possible, la commune doit aider la Métropole à s’acquitter de son obligation de donner suite aux
demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement et d’opposition,
droit à la limitation du traitement, droit à la portabilité des données, droit de ne pas faire l’objet d’une décision individuelle
automatisée (y compris le profilage).
Dans le cas où la commune est désignée comme point de contact pour l’exercice des droits dans l’information prévue à
l’article précédent, la commune doit répondre, au nom et pour le compte du responsable de traitement et dans les délais
prévus par le règlement européen sur la protection des données aux demandes des personnes concernées en cas
d’exercice de leurs droits, s’agissant des données faisant l’objet du présent marché.
Dans les autres cas, lorsque les personnes concernées exercent auprès de la commune des demandes d’exercice de
leurs droits, la commune doit adresser ces demandes dès réception par courrier électronique à l’adresse mail (ou aux
adresses mail) mentionnée(s) en page de garde du présent document, et copie à dpo@ampmetropole.fr.
5.5. Notification des violations de sécurité et/ou de données à caractère personnel
La commune notifie à la Métropole toute violation de sécurité et/ou de données à caractère personnel dans un délai
maximum de 48 heures calendaires après en avoir pris connaissance et par courrier électronique à l’adresse mail (ou aux
adresses mail) mentionnée(s) en page de garde du présent document, avec copie à dpo@ampmetropole.fr et 18
rssi@ampmetropole.fr. Cette notification est accompagnée de toute documentation utile afin de permettre à la Métropole,
si nécessaire, de notifier cette violation à l’autorité de contrôle compétente.
Après accord de la Métropole, la commune notifie à l’autorité de contrôle compétente (la CNIL), au nom et pour le compte
de la Métropole, les violations de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures
calendaires au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible
d’engendrer un risque pour les droits et libertés des personnes physiques.
La notification contient au moins :
▪ la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories
et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif
d'enregistrements de données à caractère personnel concernés ;
▪ le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel
des informations supplémentaires peuvent être obtenues ;
▪ la description des conséquences probables de la violation de données à caractère personnel ;
▪ la description des mesures prises ou que La Métropole propose de prendre pour remédier à la violation de
données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles
conséquences négatives.
Si, et dans la mesure où il n’est pas possible de fournir toutes ces informations en même temps, les informations peuvent
être communiquées de manière échelonnée sans retard indu.
Après accord de la Métropole, la commune communique, au nom et pour le compte de la Métropole, la violation de données
à caractère personnel à la personne concernée dans les meilleurs délais, lorsque cette violation est susceptible
d'engendrer un risque élevé pour les droits et libertés d'une personne physique.
La communication à la personne concernée décrit, en des termes clairs et simples, la nature de la violation de données à
caractère personnel et contient au moins :
▪ la description de la nature de la violation de données à caractère personnel y compris, si possible, les catégories
et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif
d'enregistrements de données à caractère personnel concernés ;
▪ le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel
des informations supplémentaires peuvent être obtenues ;
▪ la description des conséquences probables de la violation de données à caractère personnel ;
▪ la description des mesures prises ou que la Métropole propose de prendre pour remédier à la violation de
données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles
conséquences négatives.
5.6. Aide de la commune dans le cadre du respect par la Métropole de ses obligations
La commune aide la Métropole pour la réalisation éventuelle d’analyses d’impact relative à la protection des données.
Lorsqu’elles sont requises, les analyses d’impact relatives à la protection des données sont incluses dans les prestations
de la convention.
La commune aide la Métropole pour la réalisation de la consultation préalable de l’autorité de contrôle.
5.7. Mesures de sécurité
La commune s’engage à mettre en œuvre les mesures de sécurité techniques et organisationnelles garantissant un niveau
de sécurité adapté au risque, y compris, entre autres :
▪ la pseudonymisation et le chiffrement des données à caractère personnel, 19
▪ les moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des
systèmes et des services de traitement,
▪ les moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans
des délais appropriés en cas d'incident physique ou technique,
▪ une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et
organisationnelles pour assurer la sécurité du traitement.
Le détail des mesures de sécurité est précisé dans le PAS.
5.8. Sort des données
Au terme de la prestation de services relatifs au traitement de ces données, la commune s’engage à renvoyer toutes les
données à caractère personnel à la Métropole.
Le renvoi doit s’accompagner de la destruction de toutes les copies existantes dans les systèmes d’information de la
commune. Une fois détruites, la commune doit justifier par écrit de la destruction.
5.9. Délégué à la protection des données
La commune communique à la Métropole le nom et les coordonnées de son délégué à la protection des données, si elle
en a désigné un conformément à l’article 37 du règlement européen sur la protection des données.
5.10. Registre des catégories d’activités de traitement
La commune déclare tenir par écrit un registre de toutes les catégories d’activités de traitement effectuées pour le compte
de la Métropole comprenant :
▪ le nom et les coordonnées de la Métropole pour le compte de laquelle il agit, des éventuels sous-traitants et, le
cas échéant, du délégué à la protection des données ;
▪ les catégories de traitements effectués pour le compte de la Métropole ;
▪ le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation
internationale, y compris l'identification de ce pays tiers ou de cette organisation internationale et, dans le cas
des transferts visés à l'article 49, paragraphe 1, deuxième alinéa du règlement européen sur la protection des
données, les documents attestant de l'existence de garanties appropriées ;
▪ dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles,
y compris entre autres, selon les besoins :
o la pseudonymisation et le chiffrement des données à caractère personnel ;
o des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes
des systèmes et des services de traitement ;
o des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-
ci dans des délais appropriés en cas d'incident physique ou technique ;
o une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques
et organisationnelles pour assurer la sécurité du traitement.
6. Management de la SSI de la commune
La commune dispose d’un corpus documentaire SSI composé de : 20
▪ une PSSI : celle est revue à minima tous les 3 ans. Elle respecte les principes de la PSSIE.
▪ une analyse de risque : elle s’appuie sur une méthode d’analyse de risques en cohérences avec les principes de
l’ISO27005, est revue régulièrement et définit des actions de suppression ou limitation des risques.
▪ une démarche d’audit : elle définit les principes de contrôle internes permettant à la commune de vérifier le
maintien en condition de sécurité de son système.
6.1. Sécurité des ressources humaines
Lors du processus de recrutement des contrôles de vérification de fond sur tous les candidats sont effectués par la
commune en conformité avec les lois, les règlements pertinents et l'éthique. Ces contrôles doivent être proportionnées
aux exigences métier, à la classification des informations accessibles et aux risques identifiés.
L’ensemble du processus d’arrivée et départ d’un collaborateur est piloté par les Ressources Humaines de la commune.
Des plans de formation et des plans de sensibilisation aux mesures de sécurité sont mis en place à l'attention du personnel
de la commune et, quand cela est pertinent, des sous-traitants. De plus, le personnel et les sous-traitants reçoivent
régulièrement les mises à jour des politiques et procédures de l'organisation s'appliquant à leurs fonctions.
6.2. Sécurité des infrastructures
6.2.1. Cartographie du service
La commune dispose d’une cartographie des principaux composants entrant dans le cadre des prestations de la
convention.
Cette cartographie est tenue à jour.
6.2.2. Accès logiques
Les systèmes d’exploitation, applications et équipements réseaux utilisés doivent exiger que chaque utilisateur soit
authentifié avec succès avant d'autoriser toute autre action pour le compte de cet utilisateur. Les droits sont configurés
afin que :
▪ chaque profil d’utilisateurs n’ait accès qu’aux fonctions nécessaires pour remplir sa mission
▪ chaque utilisateur n'ait accès qu'au profil qui lui est attribué
Aucun authentifiant ne doit être stocké en clair (sans chiffrement ou condensat) quelle que soit la méthode de stockage
(fichier, base de données, scripts …).
Des droits doivent être positionnés afin qu’aucun authentifiant ne soit accessible en lecture, même sous forme chiffrée,
aux utilisateurs.
Les procédures de création, modification et suppression de compte doivent être décrites dans un document.
L'ajout d'utilisateur ou les modifications entrainant l'attribution de privilèges supplémentaires, doivent être officiellement
validés et tracées dans l’outil.
Tous les comptes (système et applicatif) doivent être configurés de manière sécurisée (complexité de mots de passe,
blocage au bout 5 tentatives, changement de mot de passe régulier, etc.)
Toute utilisation ou modification d’un compte doit être tracée.
Règles spécifiques pour les administrateurs :
Les comptes à privilèges (comptes administrateurs) doivent être nominatifs et distincts des comptes utilisateurs standards. 21
Les comptes à très hauts privilèges (administrateurs de domaines par exemple) doivent être sécurisés (mots de passes
très complexes), nominatifs et distincts des comptes administrateurs standards.
6.2.3. Cloisonnement
Les infrastructures en charge du projet sont positionnées dans des zones réseau en cohérence avec leur criticité et leurs
fonctions, et dans le respect des principes de cloisonnement.
La commune dispose d’une matrice des flux à jour pour l’ensemble des équipements du projet.
6.2.4. Sécurité des serveurs
Tous les serveurs respectent les bonnes pratiques de sécurisation (recommandations constructeurs, guides de l’ANSSI,
etc.). Ces pratiques sont listées et maintenues dans un document.
Une solution contre les codes malveillants est déployée sur tous les serveurs du périmètre projet de la commune.
6.2.5. Sécurité des postes
L’installation des postes utilisés dans le cadre du projet respecte les bonnes pratiques de sécurisation. Ces pratiques sont
listées et maintenues dans un document.
Une solution contre les codes malveillants est déployée sur chaque poste du périmètre projet de la commune.
6.2.6. Supervision de la sécurité
La commune doit disposer de solutions de supervision de la sécurité (EDR, SIEM, puits de logs, etc.).
Annexe n°III : Plan d’Assurance Sécurité
La commune doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès, et mettre en oeuvre au moins les mesures suivantes :
Catégories Code
mesure
Mesure
PAS-01 Informer et sensibiliser les personnes manipulant les données Sensibiliser les utilisateurs PAS-02 Rédiger une charte informatique et lui donner une force contraignante
PAS-03 Définir un identifiant (login) unique à chaque utilisateur
PAS-04 Adopter une politique de mots de passe utilisateur conforme aux recommandations de la CNIL
PAS-05 Obliger l’utilisateur à changer son mot de passe après réinitialisation
Authentifier les
utilisateurs
PAS-06 Limiter le nombre de tentatives d’accès à un compte
PAS-07 Définir des profils d’habilitation
PAS-08 Supprimer les permissions d’accès obsolètes Gérer les habilitations
PAS-09 Réaliser une revue annuelle des habilitations
Tracer les accès et PAS-10 Prévoir un système de journalisation 22
PAS-11 Informer les utilisateurs de la mise en place du système de journalisation
PAS-12 Protéger les équipements de journalisation et les informations journalisées
gérer les incidents
PAS-13 Prévoir les procédures pour les notifications de violation de données à caractère personnel
PAS-14 Prévoir une procédure de verrouillage automatique de session
PAS-15 Utiliser des antivirus régulièrement mis à jour
PAS-16 Installer un «pare-feu» (firewall) logiciel
Sécuriser les postes de
travail
PAS-17 Recueillir l’accord de l’utilisateur avant toute intervention sur son poste
PAS-18 Prévoir des moyens de chiffrement des équipements mobiles
PAS-19 Faire des sauvegardes ou des synchronisations régulières des données Sécuriser l’informatique mobile
PAS-20 Exiger un secret pour le déverrouillage des ordiphones
PAS-21 Limiter les flux réseau au strict nécessaire
PAS-22 Sécuriser les accès distants des appareils informatiques nomades par VPN Protéger le réseau informatique interne
PAS-23 Mettre en oeuvre le protocole WPA2 ou WPA2-PSK, ou supérieur, pour les réseaux Wi-Fi
PAS-24 Limiter l’accès aux outils et interfaces d’administration aux seules personnes habilitées
PAS-25 Installer sans délai les mises à jour critiques Sécuriser les serveurs
PAS-26 Assurer une disponibilité des données
PAS-27 Utiliser le protocole TLS et vérifier sa mise en oeuvre
PAS-28 Vérifier qu’aucun mot de passe ou identifiant n’est encapsulé dans les URL
PAS-29 Contrôler que les entrées des utilisateurs correspondent à ce qui est attendu
Sécuriser les sites web
PAS-30 Mettre un bandeau de consentement pour les cookies et autres traceurs non nécessaires au service
PAS-31 Effectuer des sauvegardes régulières
PAS-32 Stocker les supports de sauvegarde dans un endroit sûr
PAS-33 Prévoir des moyens de sécurité pour le convoyage des sauvegardes Sauvegarder et prévoir
la continuité d’activité
PAS-34 Prévoir et tester régulièrement la continuité d’activité
PAS-35 Mettre en oeuvre des modalités d’accès spécifiques aux données archivées Archiver de manière sécurisée
PAS-36 Détruire les archives obsolètes de manière sécurisée
PAS-37 Enregistrer les interventions de maintenance dans une main courante
PAS-38 Encadrer par un responsable de l’organisme les interventions par des tiers
Encadrer la
maintenance et la
destruction des
données PAS-39 Effacer les données de tout matériel avant sa mise au rebut
Gérer la sous-traitance
PAS-40 Les relations avec les prestataires qui traitent des données au nom et pour le compte du responsable de traitement (l’organisme employeur) doivent faire l’objet d’un accord écrit. Cet accord doit contenir une ou des clauses spécifiques relatives aux obligations respectives des parties résultant du traitement des données à caractère personnel. L’accord doit notamment prévoir les conditions de restitution et de destruction des données. Il incombe au responsable de traitement de s’assurer de l’effectivité des garanties prévues (audits de sécurité, visites, etc.). Pour plus de précisions, vous pouvez vous reporter au guide de la sous-
traitance et aux exemples des clauses de sous- traitance.
Sécuriser les échanges
avec d’autres
PAS-41 Ne pas transmettre des fichiers contenant les données à caractère personnel des usagers en clair via des messageries grand public 23
PAS-42 Privilégier des moyens de communication autres que les messageries grand public pour communiquer des informations relatives aux
personnes accompagnées à d’autres travailleurs sociaux ou organismes (p. ex.: plateformes d’échanges sécurisées, messagerie interne, etc.)
PAS-43 Chiffrer les pièces sensibles à transmettre, si cette transmission utilise la messagerie électronique
PAS-44 S’assurer qu’il s’agit du bon destinataire
organismes
PAS-45 Assurer la confidentialité des secrets (clé de chiffrement, mot de passe, etc.) en les transmettant via un canal distinct (par exemple, envoi du fichier chiffré par courriel et transmission du secret par téléphone ou par SMS
PAS-46 Restreindre les accès aux locaux au moyen de portes verrouillées
PAS-47 Installer des alarmes anti-intrusion et les vérifier périodiquement
PAS-48 Ranger tous les documents papiers relatifs aux usagers dans des armoires fermées à clé
Protéger les locaux et
les bureaux physiques
PAS-49 Verrouiller la porte d’accès au bureau en cas d’absence prolongée
PAS-50 Proposer des paramètres respectueux de la vie privée aux utilisateurs finaux
PAS-51 Encadrer de manière stricte les zones de commentaires libres Encadrer les
développements
informatiques PAS-52 Tester sur des données fictives ou anonymisées
PAS-53 Utiliser des algorithmes, des logiciels et des bibliothèques reconnus Utiliser des fonctions
cryptographiques PAS-54 Conserver les secrets et les clés cryptographiques de manière sécurisée
Sécuriser les mots de
passe des usagers
PAS-55 Utiliser un gestionnaire de mots de passe ou un carnet stocké dans un coffre-fort pour enregistrer les mots de passe des usagers
accompagnés dans le cadre de l’accompagnement numérique
Sécuriser les données
de santé
PAS-56 En cas d’hébergement des données de santé à caractère personnel réalisé pour le compte des organismes assurant le suivi social ou
médico-social par un prestataire informatique, celui-ci doit être agréé ou certifié pour l’hébergement, le stockage, la conservation de données de santé, conformément aux dispositions de l’article L. 1111-8 du code de la santé publique.