Cahier des Clauses Techniques Particulières

Cahier des Clauses Techniques Particulières (C.C.T.P) MARCHE PUBLIC DE FOURNITURES Objet du marché : fourniture de sites internet sécurisés avec hébergement, fourniture de messagerie et outil de travail collaboratif, fourniture du libriciel WCS en mode logiciel à la demande, dans le cadre du groupement de commandes relatif à la dématérialisation des procédures et de télétransmission des actes. CENTRE DE GESTION DE LA FONCTION PUBLIQUE TERRITORIALE DU NORD 14 rue Jeanne Maillotte CS 71222 59013 Lille Cedex Date limite de réception des offres : Le 26 Mai 2015 à 12h00

SOMMAIRE 1 OBJET DU MARCHE... 4 2 PRESENTATION DU CDG59... 4 2.1 LE SERVICE CRE@TIC... 5 3 DESCRIPTION DU CONTEXTE... 6 4 LOT 1 FOURNITURE DE SITES INTERNET AVEC HEBERGEMENT... 7 4.1 OBJECTIF... 7 4.2 DESCRIPTION... 7 4.3 GABARIT, FONCTIONNALITES ET COMPATIBILITE... 7 4.3.1 Formule de base avec gabarit imposé... 7 4.3.2 Formule de base avec gabarit évolué... 8 4.3.3 Intégration des télé-formulaires proposés par une instance WCS... 9 4.3.4 Prestations complémentaires... 9 4.4 CONTRAINTES COMMUNES... 9 4.4.1 Authentification externe... 12 4.5 MISE EN SERVICE D'UNE INSTANCE... 12 4.6 MAINTENANCE DE LA SOLUTION PROPOSEE... 12 4.7 GARANTIE DE TEMPS DE RETABLISSEMENT (GTR) ET PENALITES... 13 4.8 DEMARCHE PRECONISEE POUR ASSURER L ASSISTANCE... 13 4.9 HEBERGEMENT ET SECURITE... 13 4.9.1 Mise à jour de sécurité... 14 4.9.2 Mise à jour correctives et évolutives... 15 4.9.3 Sauvegardes et restauration... 15 4.9.4 Localisation des données... 15 4.9.5 Transfert des données... 15 4.9.6 Confidentialité... 15 4.9.7 Plan d'assurance sécurité... 16 4.9.8 Réversibilité... 17 4.9.9 Charte de responsabilité... 17 4.10 NOM DE DOMAINE... 17 4.11 DOCUMENTATION... 18 4.11.1 Support d'utilisation... 18 5 LOT 2 MESSAGERIES ET OUTILS DE TRAVAIL COLLABORATIF... 19 5.1 DESCRIPTION... 19 5.2 MESSAGERIE... 19 5.2.1 Caractéristiques techniques minimales... 19 5.3 MISE EN SERVICE D'UNE INSTANCE... 20 5.4 FORMULES DE TRAVAIL COLLABORATIF... 21 5.4.1 Formule agenda partagé... 21 5.4.2 Formule agenda partagé / partage de documents... 21 5.5 NOM DE DOMAINE... 22 5.6 DOCUMENTATION... 23 5.7 MAINTENANCE ET ASSISTANCE... 23 2 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

5.7.1 Maintenance... 23 5.7.2 Assistance... 23 5.7.3 Garantie de temps de rétablissement (GTR) et pénalités... 23 5.8 HEBERGEMENT ET SECURITE... 24 5.8.1 Plan d assurance sécurité... 24 5.8.2 Gestion des évolutions... 24 5.8.3 Audits et sécurité... 25 5.8.4 Localisation des données... 25 5.8.5 Transfert des données... 25 5.8.6 Confidentialité... 25 5.8.7 Protection des données à caractère personnel... 26 5.8.8 Elimination des données... 26 5.8.9 Secret des correspondances... 26 6 LOT 3 FOURNITURE DU LIBRICIEL WCS EN MODE LOGICIEL A LA DEMANDE... 27 6.1 OBJET DU MARCHE... 27 6.2 DESCRIPTION DES PRESTATIONS ATTENDUES... 27 6.3 MISE EN SERVICE D'UNE INSTANCE... 28 6.3.1 Personnalisation graphique... 28 6.3.2 Paramétrage d'un service d'authentification unique... 28 6.3.3 Paramétrage des webservices... 28 6.3.4 Bibliothèque de services déjà existants... 28 6.4 HEBERGEMENT... 29 6.5 MAINTENANCE ET ASSISTANCE... 29 6.5.1 Maintenance... 30 6.5.2 Assistance... 31 6.5.3 Intervention à distance... 31 6.6 PLAN D'ASSURANCE SECURITE... 31 6.6.1 Gestion des évolutions... 32 6.6.2 Audit et sécurité... 32 6.6.3 Localisation des données... 33 6.6.4 Transfert du système... 33 6.6.5 Confidentialité... 33 6.6.6 Réversibilité... 34 6.7 CALCUL DU COUT POUR CHAQUE MEMBRE DU GROUPEMENT DE COMMANDES... 34 3 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

1 Objet du marché Les systèmes d information des collectivités et des établissements publics du département du Nord se modernisent et s ouvrent de plus en plus vers l extérieur. La mise en place de projets comme les échanges dématérialisés avec les partenaires, l ouverture de télé services pour les citoyens, l hébergement de sites web, la signature électronique nécessitent une sécurité adaptée à ces nouveaux enjeux. La gestion d'un site internet pour une collectivité est devenue indispensable avec l'ensemble de ses administrés connectés via leurs smartphones, leurs ordinateurs personnels ou professionnels. La diffusion de l'information doit donc se faire de la façon la plus simple et rapide via l'utilisation du CMS sous licence libre permettant à ses contributeurs d'alimenter le site internet en contenus de la façon la plus intuitive possible. Le Centre de gestion de la Fonction Publique Territoriale du Nord (Cdg59) est coordonateur du groupement, il est habilité à signer, notifier et à suivre l exécution du marché. Néanmoins, chaque membre du groupement est responsable de l exécution financière du marché selon ses propres besoins. 2 Présentation du Cdg59 Le Cdg59 est un établissement public administratif autonome dont les principales missions portent sur l assistance et le conseil aux collectivités locales du département du Nord. Aujourd hui, près de 930 collectivités font appel aux conseils et à l expertise de notre établissement, tant en matière de statut, de gestion des carrières que d emploi public. Au total, plus de 27 000 carrières d agents de la Fonction Publique Territoriale sont gérées par nos services. 4 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

2.1 Le service Cre@tic Depuis de nombreuses années, le Cdg59 cherche à développer la dématérialisation des documents tant en interne de l'établissement qu'au sein même des collectivités du département du Nord. C'est à cette fin qu a été créé en 2006 le service Cre@tic, Centre de Ressources E-Administration et Technologies de l'information et de la Communication chargé d accompagner les collectivités locales dans leur démarche de développement des TIC. Depuis sa création, le service Cre@tic déploie dans les collectivités du Nord des outils visant soit la dématérialisation interne soit la dématérialisation des échanges avec d autres administrations, les citoyens ou les entreprises... A titre d exemple, on peut citer : i-parapheur : parapheur électronique permettant de dématérialiser les circuits de validation de tous les documents et supportant la signature électronique, webdelib : gestionnaires de délibérations permettant de dématérialiser les circuits de validation des projets, la gestion des séances de l'organe délibérant (convocations, votes, procès-verbaux), la télétransmission des actes..., une plateforme régionale de dématérialisation des marchés publics, PASTELL : une plateforme d échanges sécurisés dont la vocation est de prendre en charge tout type d'échange entre administrations, avec les élus, les agents, les usagers, les fournisseurs... 5 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

3 Description du contexte Le présent marché a pour objet l'attribution à un prestataire la charge de créer des sites internet pour les membres du groupement et/ou la gestion technique partielle ou totale de ces sites, de l'hébergement de ces derniers, de la gestion du nom de domaine correspondant et de la messagerie électronique dans le cadre du groupement de commande. Mais l'ensemble des sites internet des collectivités n'est pas homogène à la fois dans la conception (pages html statiques, CMS différents, inexistant...) mais aussi dans la maintenance de ces derniers (version obsolète, pas de mise à jour de sécurité...). Il s agit d un marché à bons de commandes mono-attributaire, en application de l'article 77 du Code des marchés publics. Le présent marché se décompose en 3 lots : Lot 1 - Fourniture de sites internet avec hébergement, Lot 2 Fourniture de messageries et outils de travail collaboratif, Lot 3 Fourniture du libriciel WCS en mode logiciel à la demande. 6 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

4 Lot 1 Fourniture de sites internet avec hébergement 4.1 Objectif Permettre aux collectivités ne disposant pas de sites internet de pouvoir en acquérir un "clés en main", facile d'utilisation et intégrant la composante sécurité. 4.2 Description Le prestataire sera en mesure d'assurer la réalisation de sites internet communaux avec un CMS open source dans sa dernière version stable LTS. Chaque membre du groupement pourra choisir entre 2 formules : formule de base, formule évoluée. 4.3 Gabarit, fonctionnalités et compatibilité 4.3.1 Formule de base avec gabarit imposé Eléments paramétrables : o choix parmi une palette 4 CSS modifiant les couleurs, o intégration image, titre du site pour la conception du bandeau (accessible à la collectivité au moyen d un backend sécurisé), o intégration logo (accessible à la collectivité au moyen d un backend sécurisé). Arborescence : o accueil / actualités, o vie pratique, o vie associative, o mentions légales (hors menu), o page contact avec le formulaire intégrant un captcha (hors menu). Les fonctionnalités ouvertes à la collectivité (back office) : o modification du titre des pages, o ajout et modification de contenus, o ajout de fichiers (texte et images), o consultation de statistiques simples (nombre de visites). Les fonctionnalités attendues sont : 7 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

o affichage d'une information dynamique sur la politique d'utilisation des cookies, o formulaire de contacts (form2mail), o diaporamas d'images, o affichage météo. 4.3.2 Formule de base avec gabarit évolué Eléments paramétrables : o choix parmi 4 gabarits (templates) avec 4 CSS couleurs par gabarit, o intégration images, titre du site pour la conception du bandeau (accessible à la collectivité au moyen d un backend sécurisé), o intégration logo (accessible à la collectivité au moyen d un backend sécurisé). Arborescence proposée à titre indicatif (avec le menu principal pouvant contenir des sous-menus déroulants) : o accueil/actualités, o vie pratique, o vie associative, o services municipaux, o jeunesse et culture, o tourisme, o, o page contacts avec le formulaire intégrant un Captcha (hors menu). Les fonctionnalités ouvertes à la collectivité (back office) : o ajout et modification de pages, o ajout et modification de contenus, o ajout de fichiers (texte et images), o consultation de statistiques simples (nombre de visites par pages et total sur une période donnée), o conception et envoi de newsletter (avec reprise de la CSS du site). Les fonctionnalités attendues sont : o affichage d'une information dynamique sur la politique d'utilisation des cookies, o formulaire de contacts (form2mail), o diaporamas d'images, o affichage météo, o carrousel d'images en page d'accueil, o géo-localisation pour mettre en évidence des bâtiments communaux (ex : mairie, salle des fêtes, lieux touristiques, équipements...), o newsletter pour ses abonnés, o lecteur de vidéos en cas d'hébergement propre de ces dernières, 8 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

o affichage météo 4.3.3 Intégration des télé-formulaires proposés par une instance WCS Pour les deux formules de site (imposé ou évolué), le soumissionnaire proposera aux membres du groupement de commandes disposant d une instance WCS une page intégrant les télé-formulaires proposés par cette instance (cf. lot 3 du présent marché). La liste hiérarchisée des catégories de télé-formulaire et des télé-formulaires proposés devra être construite à partir des web services exposés par l instance WCS du membre du groupement de commandes. Chaque lien vers un télé-formulaire WCS présenté dans la liste sera ouvert dans une nouvelle page ou un nouvel onglet. En outre, cette page devra intégrer deux liens : Un lien vers l instance WCS. Son ouverture devra se faire dans une nouvelle page ou un nouvel onglet. Un lien vers le compte usager. Son ouverture devra se faire dans une fenêtre popup. Les spécifications techniques des web services exposés par une instance WCS sont accessibles à l adresse suivante : http://doc.entrouvert.org/wcs/dev/#api Le membre du groupement de commandes transmettra au titulaire les éléments permettant la connexion aux web services de l instance WCS et le lien vers le compte usager. L activation et le paramétrage de cette fonctionnalité sera incluse dans les coûts forfaitaires proposés par le soumissionnaire. 4.3.4 Prestations complémentaires Le soumissionnaire précisera le coût jour/homme pour une prestation complémentaire liée à l évolution du site internet, notamment pour l intervention : d un chef de projet, d un développeur, d un graphiste. 4.4 Contraintes communes Les fonctionnalités attendues seront basées autant que faire se peut sur des extensions du CMS existantes, stables et maintenues. La gestion des droits aux contributeurs se basera autant que faire se peut sur les options natives du CMS. 9 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

Les différentes propositions de Templates et les fonctionnalités seront Responsive pour l affichage tablette et smartphone. Le site devra être compatible avec les dernières versions navigateurs suivants : Internet explorer, Firefox, Google Chrome et Safari. La conception du site et les fonctionnalités mises à disposition devront respecter les normes d'accessibilité à partir du référentiel RGAA (Référentiel Général d Accessibilité pour les Administrations) (niveau AA). https://references.modernisation.gouv.fr/sites/default/files/rgaa-v2.2_annexe1- Criteres.pdf Exemple de Template évolué : 10 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

Exemple de Template évolué Responsive : 11 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

4.4.1 Authentification externe L authentification des utilisateurs backend du CMS proposé sera, au choix du membre du groupement de commandes, soit complètement locale soit via un système d authentification unique (Single sign-on ou SSO) proposé par un fournisseur d identités de confiance. Aussi, le CMS proposé devra être compatible avec l un des protocoles SSO suivants : SAML 2.0 CAS 1.0 et 2.0 OpenID 1.0 et 2.0 Le membre du groupement de commandes transmettra au titulaire les paramètres de connexion au fournisseur d identités qu il souhaitera utiliser. Le Cdg59 propose un service de fourniture d identité basé sur un serveur Authentic2 1. L activation et le paramétrage de cette fonctionnalité sera incluse dans les coûts forfaitaires proposés par le soumissionnaire. 4.5 Mise en service d'une instance A réception d'un bon de commande émanant d'un membre du groupement de commandes, le titulaire déclenchera la mise en service de l'instance de l'applicatif demandé. Cette instance devra être livrée dans un délai maximum de 10 jours ouvrés. L'instance de l'application est réputée livrée à compter de la fourniture des éléments suivants au référent désigné par le membre du groupement de commandes : les URL de connexion à l'interface graphique utilisateur et aux webservices de l'instance fournie, les éléments de connexion au compte d'administration et aux webservices de l'instance fournie. 4.6 Maintenance de la solution proposée La solution proposée par le prestataire fera l objet d une maintenance préventive, corrective et réglementaire à compter de la mise en production jusqu'à la fin du marché. Le prestataire s engage à répondre dans les délais suivants : erreur bloquante : intervention sous 48 heures, erreur non bloquante : intervention sous cinq jours ouvrés. Toute opération de maintenance devra être réalisée en respectant les conditions de disponibilité du site et en assurant la continuité du service. 1 http://www.entrouvert.com/fr/identite-numerique/authentic-2/ 12 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

4.7 Garantie de temps de rétablissement (GTR) et pénalités Le temps de rétablissement est défini comme l intervalle de temps entre le moment où un incident est constaté et signalé au titulaire du marché par le membre du groupement et le moment où le titulaire informe le membre du groupement du rétablissement du service. Pour les services de connexion à l Internet (réseaux, accès et équipements), une garantie de temps de rétablissement (GTR) maximale de 4 heures par jour ouvré sera proposée par le soumissionnaire. En cas de dépassement de la GTR les pénalités prévues au CCAP sont applicables. Le soumissionnaire proposera une GTR de 4 heures, 7/7jours de 24h/24h. 4.8 Démarche préconisée pour assurer l assistance Le titulaire devra clarifier de manière précise les éléments suivants de son offre : l ouverture d un incident se fera au premier survenu des 2 événements suivants : o déclaration de l incident par la collectivité, o constatation de l incident par l opérateur sur la base des alarmes remontées par ses consoles d administration, procédure d information du membre du groupement sur la détection d un incident par le titulaire : o le titulaire devra informer le membre du groupement dans les plus brefs délais de l incident dès qu il le constatera et devra établir un premier diagnostic indiquant l impact (site inaccessible, perte de performances ) et une durée estimée d indisponibilité ou dégradation du service, procédures d information du membre du groupement sur l état d avancement d un incident ouvert : le titulaire informera le membre du groupement de l état d avancement du traitement du problème et des mesures prises pour le résoudre. Le soumissionnaire privilégiera la messagerie électronique pour avertir la commune des incidents et des opérations de maintenance éventuelles. Cependant, en cas d interruption totale du service, le titulaire utilisera tout moyen utile pour prévenir le membre du groupement (SMS, téléphone, télécopie). 4.9 Hébergement et Sécurité Le titulaire du marché assurera pour le membre du groupement l'hébergement du site de production. Les services suivants relèvent de la prestation d'hébergement : la mise à disposition du site avec une bande passante garantissant la fluidité du site, la mise à disposition de l'espace de stockage d 1 Go minimum, la sauvegarde et restauration (cf 4.9.3), la fourniture d'une adresse IP publique pour la plateforme de production, 13 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

le niveau de disponibilité général du site du membre du groupement doit être supérieur à 99 %, l architecture matérielle et logicielle du site web et de son infrastructure d hébergement doit respecter le principe de défense en profondeur avec la mise en place d'un WAF (Web Application Firewall), transmission chaque année un rapport sur la disponibilité des applications proposées. Un site internet est par nature un élément très exposé du système d information. Sa sécurisation revêt une grande importance, et ce à plusieurs titres. Le prestataire devra respecter ces contraintes : utiliser des protocoles de sécurité pour accéder à la partie backend du site internet, recourir à chaque fois que c est possible au protocole HTTPS dès lors que l on associe une session à des privilèges particuliers, définir une politique de journalisation précisant notamment les modalités et les durées de conservation des différents journaux ainsi que les méthodes d analyse et de corrélation des données produites, limiter les renseignements fournis sur le fonctionnement technique du site web, stocker les mots de passe dans une forme transformée par une fonction cryptographique non réversible conforme au Référentiel Général de Sécurité, Utiliser un sel aléatoire pour la transformation des mots de passe. http://www.ssi.gouv.fr/uploads/img/pdf/np_securite_web_notetech.pdf 4.9.1 Mise à jour de sécurité Le prestataire est en charge de suivre les évolutions et patchs correctifs nécessaires au maintien du site. Il aura à charge d'appliquer les mises à jour de sécurité : sur le système d'exploitation et les applications mises en œuvre dans le cadre du présent marché, sur le CMS, sur les modules et plugins dont dépendent les fonctionnalités installées. Le prestataire proposera un calendrier d'interventions auprès du membre du groupement pour corriger les failles de sécurité dans les plus brefs délais. 14 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

4.9.2 Mise à jour correctives et évolutives Le titulaire appliquera les mises à jour (mineures et majeures) du CMS au fur à mesure de leur publication, pour garantir une version toujours supportée. De même le titulaire appliquera les mises à jour des modules complémentaires, plugins, extensions, proposées dans le présent marché. Les évolutions fonctionnelles ou techniques ne doivent pas remettre en cause le respect des exigences de sécurité ou compromettre une éventuelle opération de réversibilité. 4.9.3 Sauvegardes et restauration Afin d'assurer la continuité de service et la reprise de données en cas d incident, le prestataire s'engage à réaliser : une sauvegarde totale du système et des données quotidiennes sur une durée de 7 jours glissants, une sauvegarde mensuelle totale du système et des données sur une durée de 3 mois. Le titulaire s engage à réaliser les restaurations à la demande du membre du groupement (cf BPU). 4.9.4 Localisation des données Les lieux d hébergement des données doivent satisfaire aux exigences de sécurité du donneur d ordres et aux dispositions de la loi informatique et liberté du 6 janvier 1978 modifiée, relative à la protection des données personnelles. Le prestataire doit communiquer la liste de tous les lieux de stockage de données (site d hébergement principal, site(s) de secours, etc.). 4.9.5 Transfert des données Le prestataire se porte garant de l intégrité et de la confidentialité des données qui lui sont confiées pendant la phase de transfert du système d information. Il appartient en particulier au prestataire de faire des sauvegardes des informations des clients et de gérer ces sauvegardes de manière à permettre une reprise en cas d incident lors de la bascule du système. 4.9.6 Confidentialité Le prestataire s engage : à ne divulguer sous aucun prétexte et de quelque manière ou forme que ce soit, les informations à des tiers sans l autorisation préalable écrite de la collectivité, 15 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

à ne copier totalement ou partiellement aucune information fournie par la collectivité sans l autorisation écrite de la collectivité, à protéger et garder confidentielles les informations en leur accordant le même degré de soin et de protection que le prestataire accorde à ses propres informations de même importance. Toutes les informations transmises par l une des parties à l autre et toutes les copies ou notes resteront la propriété de la collectivité et lui seront retournées à tout moment pendant la durée de la validité de l accord par le prestataire dans le mois à compter de la réception par ce dernier de la demande écrite de la collectivité. A défaut, elles seront détruites en fin de contrat. Par ailleurs, Il n y aura pas de transfert de propriété de la documentation échangée. Tant pendant la durée du contrat que pendant une durée illimitée après la fin ou la résiliation de celui-ci pour quelque cause que se soit, chaque partie considérera et traitera comme confidentiels tous les documents, programmes et informations qui lui auront été communiqués dans le cadre de l exécution des prestations prévues dans ce contrat. 4.9.7 Plan d'assurance sécurité Les collectivités locales et surtout les petites disposent d'un parc informatique souvent hétérogène et souvent fourni par les éditeurs de logiciels métiers. La sécurité des systèmes d'information est très peu prise en compte, c'est pourquoi un plan de sécurisation des SI des petites collectivités leur est proposé. Il est indispensable que le titulaire du présent lot contribue à cet effort de sécurisation en respectant les règles de base dans la protection des accès (structure de mots de passe) ou des échanges utilisant l'internet public (HTTPS, certificats SSL, éventuellement certificat RGS..). Pour répondre à ces contraintes et plus généralement aux risques encourus dans le cadre de ce lot, le prestataire joindra à son offre une proposition de Plan d'assurance Sécurité répondant aux problématiques de disponibilité, confidentialité, intégrité et traçabilité des services proposés. Le soumissionnaire proposera en outre une politique de sécurité des mots de passe qu'il fournira aux membres du groupement de commandes. Le titulaire s engage à exécuter ses obligations en termes de sécurité des systèmes d information selon le Plan d Assurance Sécurité, dénommé PAS. Le titulaire est responsable de la rédaction initiale du PAS ainsi que de ses évolutions nécessaires pour satisfaire aux exigences de sécurité des membres du groupement de commandes pendant toute la durée des prestations. Le PAS devra contenir au minima les éléments suivants : 16 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

La description des systèmes externalisés, L organisation de la gestion de la sécurité, Les procédures d évolution du PAS, L applicabilité du PAS, Les mesures de sécurité (transfert, exploitation, réversibilité). 4.9.8 Réversibilité Les données traitées par la collectivité restent sa propriété et elle reste donc libre de déterminer avec quels applicatifs elle souhaite travailler voire publier ces données dans le cadre de l'open data ou les conserver dans le cadre de l'archivage électronique. A l'issue des relations contractuelles entre le titulaire et un membre du groupement, le titulaire s'engage à remettre à la collectivité les données qu'il conserve dans des formats pré-établis et à détruire définitivement toutes les données jusqu alors conservées dans ses systèmes. Le soumissionnaire précisera les modalités de récupération des données et de destruction. Le soumissionnaire précisera le coût forfaitaire de récupération des données. Le titulaire s engage à réaliser les restaurations à la demande du membre du groupement (cf BPU). 4.9.9 Charte de responsabilité Une charte de responsabilité sera définie d un commun accord avec le titulaire. Celle-ci inclura une procédure de conduite à tenir en cas d incident. Le prestataire fournira dans son offre un exemple de charte de responsabilité. 4.10 Nom de domaine Le soumissionnaire assurera à la demande du membre du groupement : le conseil auprès du membre du groupement dans son choix de nom de domaine, la gestion du nom de domaine : o création, o renouvellement, o transfert, o changement de propriétaire. De plus, le soumissionnaire fournira toutes les informations à transmettre au gestionnaire du domaine. Le prestataire indiquera dans son offre les coûts associés à la gestion d un nom de domaine (cf BPU). 17 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

4.11 Documentation 4.11.1 Support d'utilisation Le prestataire mettra à disposition une documentation à l attention des utilisateurs sur les fonctionnalités proposées. 18 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

5 Lot 2 Messageries et outils de travail collaboratif 5.1 Description Le prestataire sera en mesure d'assurer la fourniture d une solution de messagerie internet. Chaque membre du groupement pourra choisir entre 3 formules : messagerie, messagerie et agenda partagé, messagerie, agenda partagé et partage de documents. 5.2 Messagerie Le soumissionnaire présentera dans son offre une solution de messagerie internet. Le prestataire indiquera dans son offre le tarif mensuel associé à l utilisation d une messagerie internet (cf BPU). 5.2.1 Caractéristiques techniques minimales Le soumissionnaire doit intégrer dans son offre les serveurs de courriers électroniques répondant aux caractéristiques minimales suivantes : serveur SMTP nécessitant une authentification, serveur supportant les protocoles POP et IMAP et utilisant le protocole TLS (Transport Layer Security) pour sécuriser les connexions, antivirus intégré, anti-spam intégré, 1 Go d espace de stockage par compte, trafic illimité, accessible en Webmail. L accès en Webmail doit comporter au minima les fonctionnalités suivantes : accès SSL, réception, expédition des Emails : 19 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

o personnalisation signature, supporter le html, marquer les emails, accusé de réception, niveau de priorité, répondeur automatique, gestion carnets d adresses, gestion dossiers, outil de recherche des emails, des contacts, compatible avec les principaux navigateurs du marché tels qu Internet Explorer, Google Chrome, Mozilla Firefox, Safari, Opéra, gestion anti-spam, utilisation des ports standards des différents protocoles proposés. Le portail d administration et ses fonctionnalités Le portail d administration devra offrir à minima les fonctionnalités suivantes : o gestion des comptes : création, suppression, modification du mot de passe, o gestion d alias et de forward (sans limitation de nombre) : création, modification, suppression, o indicateurs de consommation par BAL (espace de stockage). Taux de disponibilité du service global L'hébergement devra respecter les critères suivants : o Taux de disponibilité du service global : le taux de disponibilité du service global devra être de 99,5% hors temps de maintenance programmée. Le titulaire transmettra chaque année un rapport sur la disponibilité des applications proposées. 5.3 Mise en service d'une instance A réception d'un bon de commande émanant d'un membre du groupement de commandes, le titulaire déclenchera la mise en service de l'instance de l'applicatif demandé. Cette instance devra être livrée dans un délai maximum de 10 jours ouvrés. L'instance de l'application est réputée livrée à compter de la fourniture au référent désigné par le membre du groupement de commandes : les URL de connexion à l'interface graphique utilisateur et aux webservices de l'instance fournie, les éléments de connexion au compte d'administration et aux webservices de l'instance fournie. 20 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

5.4 Formules de travail collaboratif 5.4.1 Formule agenda partagé Le prestataire proposera une fonction «agenda partagé» couplée à la solution de messagerie. Cette fonction «agenda partagé» doit comporter au minima les fonctionnalités suivantes : gestion d agendas : o création, suppression, modification, partage (entre plusieurs utilisateurs, groupes d utilisateurs), gestion des événements (rendez-vous, réunions ) : o création, suppression, modification, rappels, partage, (entre plusieurs utilisateurs, groupes d utilisateurs), invitations et confirmations, visualisation au jour, à la semaine, au mois, notifications par emails, association des utilisateurs et des contacts de la messagerie, gestion des contacts, partage possible des contacts entre plusieurs utilisateurs, groupes d utilisateurs, gestion des conflits «multi-agendas» sur les événements, synchronisation bidirectionnelle des agendas et des contacts avec les smartphones Android, ios, Windows Phone. Le prestataire indiquera dans son offre le tarif mensuel associé à l utilisation d une messagerie internet, avec la formule agenda partagé. (cf BPU). 5.4.2 Formule agenda partagé / partage de documents Le prestataire proposera une fonction «agenda partagé / documents partagés» couplée à la solution de messagerie. La fonction «agenda partagé» doit comporter au minima les fonctionnalités suivantes : gestion d agendas : o création, suppression, modification, partage (entre plusieurs utilisateurs, groupes d utilisateurs), gestion des événements (rendez-vous, réunions ) : o création, suppression, modification, rappels, partage, (entre plusieurs utilisateurs, groupes d utilisateurs), 21 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

invitations et confirmations, visualisation au jour, à la semaine, au mois, notifications par emails, association des utilisateurs et des contacts de la messagerie, gestion des contacts, partage possible des contacts entre plusieurs utilisateurs, groupes d utilisateurs, gestion des conflits «multi-agendas» sur les événements, synchronisation bidirectionnelle des agendas et des contacts avec les smartphones Android, ios, Windows Phone. La fonction «document partagé» doit comporter au minima les fonctionnalités suivantes : gestion de partage des documents : o création, suppression, modification, partage (vers un utilisateur, un groupe), téléchargement de fichiers sous différents formats (.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pdf,.jpg,.png,.odt,.ods,.odp) notifications par email, antivirus intégré, 5 Go minimum de stockage par compte. Le prestataire indiquera dans son offre le tarif mensuel associé à l utilisation d une messagerie internet, avec la formule agenda partagé / documents partagés. (cf BPU). 5.5 Nom de domaine Le soumissionnaire assurera à la demande du membre du groupement : le conseil auprès du membre du groupement dans son choix de nom de domaine, la gestion du nom de domaine : o création, o renouvellement, o transfert, o changement de propriétaire. De plus, le soumissionnaire fournira toutes les informations à transmettre au gestionnaire du domaine. Le prestataire indiquera dans son offre les coûts associé à la gestion d un nom de domaine (cf BPU). 22 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

5.6 Documentation Le soumissionnaire tiendra en permanence, à disposition du membre du groupement les différentes procédures. La documentation comprend au minima : procédure d utilisation, procédure d administration. 5.7 Maintenance et assistance 5.7.1 Maintenance Le titulaire garantira la maintenance complète de la solution fournie. Le titulaire prend en charge au minima, la correction des problèmes suivants : opérations d installation de corrections sur ses serveurs, erreurs logicielles, indisponibilité, prendre en compte toutes les mesures de configuration et de sécurité pour éviter l inscription sur liste noire (blacklist) de ses serveurs. 5.7.2 Assistance Le soumissionnaire détaillera dans son offre les modalités de l assistance, les interfaces de déclaration et de suivi des demandes mises à disposition et les outils qu'il utilise habituellement pour les interventions à distance... Ce support devra être disponible de préférence de 08h00 à 18h00 heure de Paris les jours ouvrés (du lundi au vendredi hors jours fériés). Le titulaire devra fournir un service d assistance téléphonique illimitée sur un numéro d appel sans surcoût (non surtaxé). 5.7.3 Garantie de temps de rétablissement (GTR) et pénalités Le temps de rétablissement est défini comme l intervalle de temps entre le moment où un incident est constaté et signalé au titulaire du marché par le membre du groupement et le moment où le titulaire informe le membre de groupement du rétablissement du service. Une garantie de temps de rétablissement (GTR) maximale de 4 heures, les jours ouvrés sera proposée par le soumissionnaire. 23 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

En cas de dépassement de la GTR les pénalités prévues au CCAP sont applicables. Le soumissionnaire proposera une GTR de 4 heures, 7/7jours de 24h/24h à l ensemble des formules (cf BPU). 5.8 Hébergement et sécurité La messagerie est par nature un élément très exposé du système d information. Sa sécurisation revêt une grande importance, et ce à plusieurs titres. Le prestataire devra décrire à minima les éléments suivants dans on offre : l utilisation des protocoles de sécurité pour accéder à la partie administration de la solution, le système de création de mots de passe (mots de passe forts), le stockage des mots de passe pour la partie administration 5.8.1 Plan d assurance sécurité Le titulaire s engage à exécuter ses obligations en termes de sécurité des systèmes d information selon le Plan d Assurance Sécurité, dénommé PAS. Le titulaire est responsable de la rédaction initiale du PAS ainsi que de ses évolutions nécessaires pour satisfaire aux exigences de sécurité des membres du groupement de commandes pendant toute la durée des prestations. Le PAS devra contenir à minima les éléments suivants : La description des systèmes externalisés, L organisation de la gestion de la sécurité, Les procédures d évolution du PAS, L applicabilité du PAS, Les mesures de sécurité (transfert, exploitation, réversibilité). 5.8.2 Gestion des évolutions Les évolutions fonctionnelles ou techniques ne doivent pas remettre en cause le respect des exigences de sécurité ou compromettre une éventuelle opération de réversibilité. En cas d évolution, le prestataire devra vérifier que sa mise en œuvre est conforme aux exigences contractuelles et en apporter la justification auprès du donneur d ordres, avant validation par ce dernier. 24 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

5.8.3 Audits et sécurité Le pouvoir adjudicateur doit pouvoir, à tout moment, contrôler que les exigences de sécurité sont satisfaites par les dispositions prises par le prestataire. Le périmètre et la périodicité des audits de sécurité doivent être précisément définis. Les audits pourront être réalisés par le pouvoir adjudicateur, ou délégués à un tiers. Le contrôle s'effectuera selon des modalités préalablement définies et devra permettre la visite des locaux du prestataire avec interviews individuelles des membres des équipes du prestataire, accès aux machines mises à la disposition du prestataire. Cette visite sera notifiée au prestataire selon un délai minimal de 15 jours. Le cas d une intervention urgente du fait, par exemple, de la survenance d un incident de sécurité le délai minimal préalablement évoqué pourra être ramené à 48h. 5.8.4 Localisation des données Les lieux d hébergement des données doivent satisfaire aux dispositions de la loi du 6 janvier 1978 modifiée, relative à la protection des données personnelles. Le prestataire doit communiquer la liste de tous les lieux de stockage de données (site d hébergement principal, site(s) de secours, etc.). 5.8.5 Transfert des données Le prestataire se porte garant de l intégrité et de la confidentialité des données qui lui sont confiées pendant la phase de transfert du système d information. Il appartient en particulier au prestataire de faire des sauvegardes des informations des membres du groupement de commandes et de gérer ces sauvegardes de manière à permettre une reprise en cas d incident lors de la bascule du système. 5.8.6 Confidentialité Le prestataire s engage : à ne divulguer sous aucun prétexte et de quelque manière ou forme que ce soit, les informations à des tiers sans l autorisation préalable écrite de la collectivité, à ne copier totalement ou partiellement aucune information fournie par la collectivité sans l autorisation écrite de la collectivité, à protéger et garder confidentielles les informations en leur accordant le même degré de soin et de protection que le prestataire accorde à ses propres informations de même importance. Toutes les informations transmises par l une des parties à l autre et toutes les copies ou notes resteront la propriété de la collectivité et lui seront retournées à tout moment 25 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

pendant la durée de la validité de l accord par le prestataire dans le mois à compter de la réception par ce dernier de la demande écrite de la collectivité. A défaut, elles seront détruites en fin de contrat. Par ailleurs, Il n y aura pas de transfert de propriété de la documentation échangée. Tant pendant la durée du contrat que pendant une durée illimitée après la fin ou la résiliation de celui-ci pour quelque cause que ce soit, chaque partie considérera et traitera comme confidentiels tous les documents, programmes et informations qui lui auront été communiqués dans le cadre de l exécution des prestations prévues dans ce contrat. 5.8.7 Protection des données à caractère personnel Le prestataire s engage à respecter les règles relatives à la protection des données nominatives auxquelles le prestataire aura accès pour les besoins de l exécution du marché. 5.8.8 Elimination des données A l'issue des relations contractuelles entre le titulaire et un membre du groupement, le titulaire s'engage à détruire définitivement toutes les données jusqu alors conservées dans ses systèmes. 5.8.9 Secret des correspondances Le prestataire s engage à respecter le secret des correspondances émises par voie de télécommunication, conformément à la législation et la réglementation en vigueur. 26 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

6 Lot 3 Fourniture du libriciel WCS en mode logiciel à la demande 6.1 Objet du marché Le Cdg59 souhaite dans le cadre de ce marché un service applicatif en mode logiciel à la demande ou SaaS (Software as a Service) portant sur WCS un libriciel librement téléchargeable sur le site https://dev.entrouvert.org/projects/wcs Quantités estimées : une cinquantaine d'instances 6.2 Description des prestations attendues Est entendue comme une instance du libriciel dans la cadre du présent lot, une installation et un paramétrage du logiciel garantissant aux membres du groupement de commandes utilisateurs une étanchéité des données et des fonctionnalités du logiciel. La fourniture d'une instance peut donc s'appuyer sur les fonctionnalités de gestion multicollectivités du libriciel susmentionné. Le titulaire fournira dans le cadre du présent lot, les instances des logiciels libres WCS en mode logiciel à la demande. Il devra donc proposer un service intégrant les prestations suivantes : la mise en service de l'instance dédiée du logiciel commandé par le membre du groupement de commandes ; l'hébergement de l'instance dans des conditions de sécurité garantissant confidentialité, disponibilité et intégrité des données hébergées ; l'application régulière des mises à jour logicielles ; la maintenance des applications fournies ; l'assistance de niveau 2 sur les applications fournies. 27 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

6.3 Mise en service d'une instance A réception d'un bon de commande émanant d'un membre du groupement de commandes, le titulaire déclenchera la mise en service de l'instance de l'applicatif demandé. Cette instance devra être livrée dans un délai maximum de 10 jours ouvrés. L'instance de l'application est réputée livrée à compter de la fourniture au référent désigné par le membre du groupement de commandes : les URL de connexion à l'interface graphique utilisateur et aux webservices de l'instance fournie ; les éléments de connexion au compte d'administration et aux webservices de l'instance fournie. 6.3.1 Personnalisation graphique Le titulaire proposera dans son offre forfaitaire un choix de quatre CSS simples et coordonnées avec les CSS de la formule de site avec template imposé du lot 1. Le Cdg59 assurera la coordination entre les titulaires des deux lots pour garantir la cohérence graphique des interfaces. 6.3.2 Paramétrage d'un service d'authentification unique Les instances fournies devront être paramétrées par défaut pour l'utilisation d'un service d'authentification unique (SSO ou Single Sign-On) SAML2. Le référent désigné par la collectivité fournira les éléments nécessaires au paramétrage de cette connexion. 6.3.3 Paramétrage des webservices Afin de mettre en œuvre les fonctionnalités d'interopérabilité des libriciels, le titulaire paramétrera et fournira au référent désigné par le membre du groupement de commandes l'ensemble des éléments personnalisés nécessaires à la connexion sécurisée aux webservices disponibles dans l'instance fournie. 6.3.4 Bibliothèque de services déjà existants Afin de pouvoir proposer des bibliothèques de télé-services en fonction de la taille de la collectivité ou de l'utilisation de l'internet par ses habitants, le soumissionnaire proposera un catalogue de tous les télé-services existants. 28 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

6.4 Hébergement L'hébergement devra respecter les critères suivants : Taux de disponibilité du service global : le taux de disponibilité du service global devra être de 99,5% hors temps de maintenance programmée. Les niveaux d engagement de services, à savoir les taux contractuels de disponibilité de la plateforme sont ceux précisés par le titulaire dans son offre. Ils ne peuvent être inférieurs à 99,5 %. Ce taux comprend donc les sous-ensembles serveurs, espaces disques, équipements de réseau interne et externe et équipements de sécurité. Le titulaire transmettra chaque année un rapport sur la disponibilité des applications proposées. Les instances des applications fournies seront accessibles uniquement en SSL (https) La capacité de stockage des données nécessaires pour chaque collectivité doit pouvoir être ajustée en fonction des besoins de la collectivité. Le soumissionnaire précisera la capacité de stockage affectée par défaut à chaque membre du groupement de commande. Lorsque le quota est presque atteint (80%), une alerte adressée au référent désigné par la collectivité et le titulaire proposera d'étendre l'espace de stockage par palier de 1 Go selon le coût précisé dans la réponse. Le soumissionnaire présentera de manière détaillée sa solution d'hébergement et fournira un Plan d'assurance Sécurité tel que défini au point 6.6 De plus, le soumissionnaire précisera dans son offre : la description de la sécurité applicative : mise à disposition et gestion des patchs et packages applicatifs ; la description des procédures et modes opératoires des sauvegardes des différents systèmes (mode de sauvegarde, fréquence, rétention) ; la description des procédures et modes opératoires de restaurations des différents systèmes. 6.5 Maintenance et assistance Cette prestation vise à offrir un service d'assistance et une maintenance corrective pour l'application WCS. 29 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

6.5.1 Maintenance Le titulaire du présent lot garantira la maintenance complète des applications fournies : maintenance des infrastructures matérielles et logicielles et la maintenance du libriciel en lui-même qu'elle soit préventive, corrective ou réglementaire. Les sources du logiciel devront être gérées et publiées sur le site entrouvert.com. Les corrections mineures pourront être regroupées afin de ne pas multiplier les versions. Le titulaire prend en charge dans le cadre de cette maintenance forfaitaire les opérations d'installation de ces corrections sur ses serveurs. Le titulaire prend en charge la correction des problèmes (erreurs logicielles, indisponibilités...) dans les délais prévus dans le tableau ci-dessous en fonction du niveau de gravité constaté par la collectivité. Toutefois, lorsque la correction est impossible dans les délais prévus compte tenu de la complexité des corrections à apporter, le titulaire pourra mettre en place une solution provisoire de contournement afin de permettre à la collectivité de continuer à utiliser le logiciel en attendant la résolution définitive du problème. Erreur GTR Erreur bloquante / indisponibilité totale du logiciel Erreur critique / indisponibilité d'une ou plusieurs fonctionnalité du logiciel Erreur majeure Erreur mineure 1 jour ouvré 3 jours ouvrés 5 jours ouvrés Prise en charge dans le cadre de la maintenance évolutive du logiciel Les éventuelles demandes d'évolution non couvertes par la maintenance réglementaire du logiciel devront être recensées par le titulaire du marché et transmises au CDG. Le soumissionnaire indiquera dans son offre les coûts forfaitaires annuels de la maintenance en fonction des tailles des collectivités précisées dans le bordereau de prix. 30 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

6.5.2 Assistance Le titulaire devra fournir un service d assistance de niveau 2. Ce service ne sera accessible qu'aux seuls référents désignés par la collectivité en charge de l'assistance de niveau 1 auprès des utilisateurs et sous réserve d'avoir suivi d'un cycle de formation. Les demandes d'assistance devront être effectuées par téléphone ou au moyen d'un service en ligne de demande et de suivi des demandes ouvertes auprès du titulaire (help desk). Les demandes d'assistance pourront porter sur : la disponibilité des applications proposées ; l'administration fonctionnelle ; l'utilisation. Toute demande d assistance ne relevant pas de la maintenance telle que définie dans le point précédent devra recevoir une réponse dans un délai maximum de 3 jours ouvrés. Les réponses pourront être apportées par l'interface de suivi des demandes mise à disposition par le titulaire sous réserve de notification par courriel au demandeur ou, à défaut, par courriel simple. 6.5.3 Intervention à distance Si l'assistance ou la maintenance nécessite une prise de contrôle à distance du poste d'un utilisateur, le titulaire devra se conformer à la politique de chaque collectivité dans ce domaine. Le soumissionnaire détaillera dans son offre les modalités de la maintenance et de l assistance, les interfaces de déclaration et de suivi des demandes mises à disposition et les outils qu'il utilise habituellement pour les interventions à distance... 6.6 Plan d'assurance sécurité Les collectivités locales et surtout les petites disposent d'un parc informatique souvent hétérogène et souvent fourni par les éditeurs de logiciels métiers. La sécurité des systèmes d'information est très peu prise en compte, c'est pourquoi un plan de sécurisation des SI des petites collectivités leur est proposé. Il est indispensable que le titulaire du présent lot contribue à cet effort de sécurisation en respectant les règles de base dans la protection des accès (structure de mots de passe) ou des échanges utilisant l'internet public (HTTPS, certificats SSL, éventuellement certificat RGS..). 31 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

Pour répondre à ces contraintes et plus généralement aux risques encourus dans le cadre de ce lot, le prestataire joindra à son offre une proposition de Plan d'assurance Sécurité répondant aux problématiques de disponibilité, confidentialité et intégrité des services proposés. Le soumissionnaire proposera en outre une politique de sécurité des mots de passe qu'il fournira aux membres du groupement de commandes. Le titulaire s engage à exécuter ses obligations en termes de sécurité des systèmes d information selon le Plan d Assurance Sécurité, dénommé PAS. Le titulaire est responsable de la rédaction initiale du PAS ainsi que de ses évolutions nécessaires pour satisfaire aux exigences de sécurité des membres du groupement de commandes pendant toute la durée des prestations. Le PAS devra contenir au minima les éléments suivants : La description des systèmes externalisés, L organisation de la gestion de la sécurité, Les procédures d évolution du PAS, L applicabilité du PAS, Les mesures de sécurité (transfert, exploitation, réversibilité). 6.6.1 Gestion des évolutions Les évolutions fonctionnelles ou techniques ne doivent pas remettre en cause le respect des exigences de sécurité ou compromettre une éventuelle opération de réversibilité. En cas d évolution, le prestataire devra vérifier que sa mise en œuvre est conforme aux exigences contractuelles et en apporter la justification auprès des collectivités, avant validation par ces dernières. 6.6.2 Audit et sécurité Le pouvoir adjudicateur doit pouvoir, à tout moment, contrôler que les exigences de sécurité sont satisfaites par les dispositions prises par le prestataire. Le périmètre et la périodicité des audits de sécurité doivent être précisément définis. Les audits pourront être réalisés par le pouvoir adjudicateur, ou délégués à un tiers. Le contrôle s'effectuera selon des modalités préalablement définies et devra permettre la visite des locaux du prestataire avec interviews individuelles des membres des équipes du prestataire, accès aux machines mises à la disposition du prestataire. 32 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

Cette visite sera notifiée au prestataire selon un délai minimal de de 15 jours. Le cas d une intervention urgente du fait, par exemple, de la survenance d un incident de sécurité le délai minimal préalablement évoqué pourra être ramené à 48h. Toute mise en œuvre de tests intrusifs sera préalablement encadrée par une charte commune signée entre le prestataire, l exécutant de l audit et le pouvoir adjudicateur. Les membres du groupement de commandes se réservent le droit de requérir l expertise d un organisme ou d'une société tierce présentant des compétences en matière de sécurité. 6.6.3 Localisation des données Les lieux d hébergement des données doivent satisfaire aux dispositions de la loi du 6 janvier 1978 modifiée, relative à la protection des données personnelles. Le prestataire doit communiquer la liste de tous les lieux de stockage de données (site d hébergement principal, site(s) de secours, etc.). 6.6.4 Transfert du système Le prestataire se porte garant de l intégrité et de la confidentialité des données qui lui sont confiées pendant la phase de transfert du système d information. Il appartient en particulier au prestataire de faire des sauvegardes des informations des membre du groupement de commandes et de gérer ces sauvegardes de manière à permettre une reprise en cas d incident lors de la bascule du système. 6.6.5 Confidentialité Le titulaire et le pouvoir adjudicateur qui, à l occasion de l exécution du marché, ont connaissance d informations ou reçoivent communication de documents ou d éléments de toute nature, signalés comme présentant un caractère confidentiel et relatifs notamment aux moyens à mettre en œuvre pour son exécution, au fonctionnement des services du titulaire ou du pouvoir adjudicateur, sont tenus de prendre toutes mesures nécessaires, afin d éviter que ces informations, documents ou éléments ne soient divulgués à un tiers qui n a pas à en connaître. Une partie ne peut demander la confidentialité d informations, de documents ou d éléments qu elle a elle-même rendus publics. 33 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de

Le titulaire doit informer ses sous-traitants des obligations de confidentialité et des mesures de sécurité qui s imposent à lui pour l exécution du marché. Il doit s assurer du respect de ces obligations par ses sous-traitants. Ne sont pas couverts par cette obligation de confidentialité les informations, documents ou éléments déjà accessibles au public, au moment où ils sont portés à la connaissance des parties au marché. 6.6.6 Réversibilité Les données traitées par la collectivité restent sa propriété et elle reste donc libre de déterminer avec quels applicatifs elle souhaite travailler voire publier ces données dans le cadre de l'open data ou les conserver dans le cadre de l'archivage électronique. A l'issue des relations contractuelles entre le titulaire et un membre du groupement, le titulaire s'engage à remettre à la collectivité les données qu'il conserve dans des formats pré-établis et à détruire définitivement toutes les données jusqu alors conservées dans ses systèmes. Le soumissionnaire précisera les modalités de récupération des données et de destruction. Le soumissionnaire précisera le coût forfaitaire de récupération des données. 6.7 Calcul du coût pour chaque membre du groupement de commandes Le prestataire proposera pour le service une grille de tarifs annuels conformément aux tranches prévues dans le bordereau de prix. 34 MP- 2015-19 : fourniture de site internet sécurisé avec hébergement, fourniture de messagerie et outil de