Une description la plus claire possible de l’exigence.

Disponibilité/ Intégrité/ Confidentialité/ Traçabilité

Classification des données par EDF

Le TITULAIRE s’engage à respecter :

• Les délais et les échéances tels que décrits dans les protocoles d’accord électoraux et les accords vote électronique qui seront communiqués ultérieurement.

• Le planning des échanges entre les 2 DRH Entreprise Enedis et GRDF et le TITULAIRE tout au long du projet.

Le début de la prestation commencera en avril 2023

FCT_EXP_X

FCT_CNIL_X

FCT_ORG_X

Expertise

Constitution du Dossier CNIL

Organisation interne du TITULAIRE

FCT_AA_X

FCT_SCRU_X

FCT_BV_X

FCT_ASSI_X

Le TITULAIRE doit attester avoir soumis son service de vote électronique à une expertise indépendante et transmis le rapport de l’expert à la Commission Nationale Informatique et Libertés conformément aux dispositions du Code du travail et à la délibération CNIL en vigueur à la date des élections (§ 2.1).

Le TITULAIRE fournit également la preuve de ce que l'expertise considérée concerne bien la version du logiciel qui sera effectivement utilisée pour l’élection des représentants du personnel aux CSE et au CSE-C et que l'expertise a porté sur l'intégralité du code source. Le TITULAIRE spécifie les moyens techniques mis en œuvre pour procéder à cette vérification (le cas échéant, algorithme de calcul d’empreinte, taille de clé).

Par ailleurs, le TITULAIRE diligentera avant le scrutin une expertise indépendante de la solution de vote proposée par l’ENTREPRISE.

En cas de recours contentieux, le TITULAIRE doit être capable de répondre à toute demande d’expertise judiciaire à la demande du juge électoral et d’apporter toute preuve du respect des Principes Électoraux.

Le TITULAIRE doit certifier, sous sa responsabilité exclusive, que le ou les logiciels qu’il a développés ou qu’il a modifiés et qu’il utilise pour les opérations électorales, ainsi que les procédés qu’il met en œuvre pour réaliser ces opérations sont de nature à assurer, à tout moment, le respect des Principes Électoraux.

Afin de s’en assurer, et, si besoin est, d’en administrer la preuve, le TITULAIRE doit attester avoir réalisé et fait réaliser par des personnes qualifiées et indépendantes les tests nécessaires, notamment :

• le Logiciel a fait l’objet d’un audit détaillé, incluant notamment les questions de sécurité, destiné à s’assurer du respect des Principes Électoraux ;

• le Logiciel ne contient aucune fonction espion ;

• le Logiciel a fait l’objet d’une recette fonctionnelle et technique interne dont les résultats ont été positifs au regard du respect des Principes Électoraux.

Le TITULAIRE doit s’engager à prendre toutes les mesures nécessaires afin de conserver :

• une copie scellée de la version du Logiciel ayant fait l’objet de l’Audit et de la Recette Interne ;

• le rapport de l’Audit ;

• le compte rendu validé de la Recette Interne ;

ainsi que de justifier de leur caractère original et fidèle.

Organisation générale

Le TITULAIRE précise l’organisation qu’il compte mettre en place pour le suivi de l’opération.

Expériences des intervenants

Le TITULAIRE s’engage sur la bonne adéquation des compétences des correspondants désignés et leur disponibilité sur tout le déroulement du contrat.

Recours à des sous-traitants

Le TITULAIRE indique le recours éventuel à des sous-traitants et détaille les opérations confiées à ceux-ci.

Avant la journée de recette et formations des BV, le TITULAIRE demande à GRDF, Enedis et leurs unités de réaliser des tests techniques : connexion, envoi, intégration des listes, …

Le TITULAIRE doit s’organiser pour mettre à disposition un environnement de recette, être disponible pour l’assistance à cette recette et corriger les anomalies rencontrées.

Préalablement à la mise en exploitation du service, à des fins de validation du système de vote électronique et pour favoriser l’appropriation de ce système par les utilisateurs, une journée de recette est organisée à la date et à l’heure prévue par le protocole d’accord pré-électoral et l’accord sur les modalités d’organisation du scrutin par voie électronique pour l’ENTREPRISE selon les modalités suivantes :

Au niveau de l’ENTREPRISE (GRDF, Enedis et leur service commun), dans un lieu déterminé par le représentant de l’employeur :

Il est procédé, en présence des Interlocuteurs Nationaux Election (Groupe National Centralisateur), à :

• la recette des masques présentés à l’écran (équivalent du « Bon A Tirer ») ;

• le bon fonctionnement du processus de connexion ;

• la présence et l’exactitude des listes de candidatures et des candidats associés ;

• la présence et l’exactitude des propositions d’orientation de chaque liste ;

• le fonctionnement du processus de vote ;

• le fonctionnement du processus de dépouillement.

Cette recette concerne l’ensemble du vote.

La formation pratique au système de vote électronique, est assurée par des web conférences délivrées conjointement par le TITULAIRE et l’ENTREPRISE. Cette formation concerne les délégués syndicaux, les membres des bureaux de vote les délégués de liste et les interlocuteurs nationaux.

Le TITULAIRE fournit une documentation sur :

• la constitution de la liste électorale ;

• le système de vote ;

• le système de dépouillement ;

• le système d'administration des listes électorales et des listes de candidats.

Le TITULAIRE s’engage à rectifier toute erreur constatée pendant cette recette.

Si à l’issue de la journée de recette des corrections devaient être apportées, il sera procédé à une nouvelle recette au périmètre concerné dans les 48h et sur les seuls points corrigés.

Après la recette validée par l’ENTREPRISE, le TITULAIRE :

• détruit les comptes fictifs ayant permis les contrôles ;

• scelle les listes de candidats ;

• remet à zéro le compteur des votes ;

• vide et scelle l’urne électronique ;

• destruction des données et réinitialisation de la plate-forme de vote.

L’ENTREPRISE transmet les listes de manière cryptée (par ex Stormshield), le TITULAIRE s’engage à sécuriser la confidentialité des données jusqu’à la fin de l’opération et la destruction des données.

En cas d’anomalie sur les données contenues au sein du fichier une alerte est immédiatement remontée à l’employeur lui précisant la nature de l’anomalie.

Le TITULAIRE doit pouvoir intégrer les listes suivantes :

• Listes électorales

• Listes de candidats

• Listes des membres des bureaux de vote

• Listes des délégués de liste et des représentants employeurs

• Listes des délégués nationaux (Groupe National Centralisateur)

Le TITULAIRE doit pouvoir intégrer en mode full (en annule et remplace) ou en mode delta les listes envoyées par l’ENTREPRISE par lot (de 1 à 30 fichiers / type de liste).

Le TITULAIRE doit être en mesure de mettre à jour les listes jusqu’à J-1 avant le début des votes.

A l’issue de l’intégration dans sa base de données, le TITULAIRE doit fournir les listes intégrées (export complet) dans un délai de 4h et la liste des rejets, des anomalies constatées, des occurrences en doublon, des occurrences en ajout, des occurrences retirées et des occurrences modifiées depuis le dernier import.

Les contrôles suivants devront être réalisés (non exhaustif) :

• Contrôles sur la liste électorale :

• Contrôler l’ancienneté (ancienneté supérieure à 3 mois au jour du 1^er scrutin)

• Contrôle de présence des données pour chaque électeur

• Contrôle des doublons sur la liste électorale

• Contrôler que le collège administratif de l’électeur correspond bien au collège de vote.

• Contrôle sur les lieux de résidence (CP/Ville)

• Contrôle de l’âge du candidat

• Contrôles sur la liste des candidats :

• Contrôler que le candidat est bien électeur

• Contrôler que le candidat appartient bien au corps électoral

• Contrôler que le candidat est dans le bon collège

• Contrôler la cohérence nombre de candidats / nombre de sièges

• Le renseignement du tableau et en particulier du format du nom / prénom

• Vérifier l’ordre des listes : les listes doivent être classées par ordre alphabétique de l’intitulé de la liste

• Contrôler la conformité liée à la représentation équilibrée F/H

• Contrôles sur la liste des membres de Bureau de Vote :

• Contrôler que les présidents et assesseurs du bureau de vote :

• Sont électeurs

• Appartiennent au bon collège

• Contrôler le renseignement du tableau et en particulier du format du nom / prénom

• Contrôle sur la liste des délégués de liste et des représentants employeurs : contrôler que les délégués de liste

• Sont électeurs

• Appartiennent à l’établissement CSE concerné

• Vérifier que l’OS a bien présenté des candidats

• Contrôler le renseignement du tableau et en particulier du format du nom / prénom

L’ENTREPRISE demande à GRDF, Enedis et leurs Unités d’envoyer les listes au TITULAIRE sous format informatique normé, excel ou csv, au plus tard à la date prévue par le règlement électoral pour le premier envoi, en distinguant d’une part les collèges Cadres, Maîtrises et Exécutions. L’envoi se fait selon les exigences indiquées en 5.3.2

Le TITULAIRE doit pouvoir s’adapter à l’ordonnancement des listes imposé par l’ENTREPRISE et assurer, dès réception des listes leur sécurité et leur confidentialité.

Le Titulaire doit pouvoir intégrer les professions de foi des candidats.

Les professions de foi sont transmises sous la forme d’un fichier au format PDF au plus égal à 1 Méga octets ou au maximum admissible par le Titulaire et sans lien hypertexte. Le logo est transmis en format gif ou jpeg. Tous les logos, de taille identique, apparaissent à l’écran au format minimum suivant : 130x60 pixels.

Le Titulaire met à dispo une interface pour déposer les listes et les logos.

Le Titulaire vérifie que la profession de foi ne comporte pas de lien hypertexte.

Le Titulaire vérifie le nommage des professions de foi et le nombre de professions de foi reçues : à chaque OS peut correspondre une à plusieurs profession(s) de foi, à savoir 1 profession de foi par liste de candidats déposée

Le traitement de la liste électorale a pour objet de fournir à chaque électeur, des codes lui permettant d’exprimer son vote par voie électronique, d’identifier les électeurs ayant voté et d’éditer la liste d’émargement.  

Les conditions pour être électeur sont définies dans le protocole d’accord pré-électoral. Elles s’apprécient à la date du scrutin.

Les fichiers initiaux constituant la base des listes électorales, pour envoi au prestataire, sont établis par collège Cadre /Maîtrise /Exécution et comportent les indications non exhaustives suivantes :

• Civilité

• Nom et prénom

• NNI ou équivalent

• Nom de la société

• Ancienneté/Date d’entrée IEG

• Collège d’appartenance

• Unité Managériale

• Etablissement d’appartenance

• Adresse personnelle

• Adresse mail professionnelle

• Date de naissance

• Lieu de naissance

• Sexe

• Identifiant complémentaire à des fins de renvoi des identifiants et codes de vote en cas de perte ou oubli

Le TITULAIRE doit avoir la capacité de fournir une interface permettant à chaque unité en charge de la liste électorale de l’établissement :

• L’Affichage des listes électorales

• La Création d’un nouvel électeur

• La Modification d’un électeur

• La Gestion des mouvements

• De réaliser la mutation d’un électeur entre unité (via un sas)

• De Sortir un électeur des effectifs

• De Tracer les modifications de la liste électorale

• La Validation de la liste électorale

• L’Export de la liste électorale

La Solution doit permettre à chaque électeur de vérifier en ligne sur le site du TITULAIRE son inscription sur la liste électorale de son collège d’appartenance conformément au calendrier et aux dispositions du protocole d’accord pré-électoral.

Le TITULAIRE gère les mises à jour successives prévues dans le calendrier électoral.

Contrôles lors de l’intégration des listes par le TITULAIRE

Le TITULAIRE en assure le traitement dès réception d’une liste initiale pour les intégrer in fine dans le système de vote électronique.

Le TITUALIRE met à disposition de l’ENTREPRISE une interface permettant pour chaque établissement de saisir les noms de chaque candidat titulaire et suppléant et d’extraire les informations de la liste électorale le concernant.

La Solution de vote doit pouvoir réaliser des contrôles lors de l’intégration, par exemple :

• Le candidat doit être présent également dans la liste électorale

• Le nombre de candidats ne doit pas être supérieur au nombre de sièges

Le TITULAIRE liste tous les contrôles que le logiciel de vote effectue.

Traitement égalitaire des candidats à l’affichage sur la Solution de vote

Les listes sont présentées sur les écrans dans l’ordre alphabétique de l’intitulé de la liste.

Par ailleurs, afin d’assurer l’égalité de traitement entre les candidats et de ne pas favoriser une liste par rapport à une autre, le TITULAIRE veille à ce que la dimension des bulletins et la typographie utilisée soient identiques pour toutes les listes et permettent leur affichage sur une page d'écran unique, avec une résolution standard.

En cas de nécessité, la visibilité des candidats associés à la liste peut s’effectuer au moyen d’un ascenseur vertical. En aucun cas, un ascenseur horizontal ne doit être utilisé.

Chaque liste de candidats peut désigner un mandataire de liste, pour participer au déroulement des opérations électorales.

La liste de ces mandataires de listes est transmise au TITULAIRE par l’ENTREPRISE au plus tard à la date fixée par le règlement électoral.

Le TITULAIRE assure la réalisation, diffusion et gestion des différents courriers vers les électeurs après validation au préalable de la DRHT & DRHTS.

Le TITULAIRE doit mettre en place un processus sécurisé pour l’impression et mise sous pli des courriers aux électeurs. Ce processus doit pouvoir être audité sur place sur demande de l’ENTREPRISE.

Le TITULAIRE adresse à chaque électeur au plus tard aux dates fixées par le protocole d’accord pré-électoral et l’accord vote électronique (environ à J - 15 et J-5) à son domicile, par courriers (dans une enveloppe portant le logo « Enedis» pour les fonctions centrales d’Enedis, « Enedis GRDF » pour les unités du service commun et « GRDF » pour la tête de filiale GRDF, une note explicative (au recto), un code d’identification personnel généré de façon aléatoire par le TITULAIRE, ainsi qu’un mot de passe. Les codes d’identifications sont envoyés dans 2 courriers distincts avec un délai suffisant entre chaque envoi, conformément à la règlementation en vigueur.

Le mot de passe respectera le plus haut niveau d’exigence entre GRDF, Enedis et les unités du service commun concernant les mots de passe utilisateurs :

• Exigences GRDF

  • Longueur : 12 caractères minimum (les mots de passe administrateurs peuvent être plus longs)

  • Modification obligatoire au premier accès (le cas échéant)

  • Composition : 3 critères à respecter au minimum parmi ces 4 : lettres majuscules, lettres minuscules, chiffres, caractères spéciaux

  • Tentatives de connexion

    • Nombre d’essais avant désactivation du compte : 7 maximum (le déblocage du compte se fait suite à appel de l’utilisateur. Les comptes administrateurs sont également concernés par ce critère)

    • Les tentatives d'authentification sont historisées, les tentatives infructueuses sont automatiquement surveillées et le compte est bloqué après 5 tentatives

Le terme « identifiants » recouvre le code d’identification personnel et le mot de passe.

Pour l’envoi de ces courriers et afin d’assurer l’effectivité du vote par tout électeur, le TITULAIRE doit garantir que les courriers arrivent dans les mêmes délais, quel que soit le lieu de domiciliation de l’électeur. A cet effet, pour les électeurs domiciliés dans les Départements d’Outre-Mer (DOM), la Corse, Saint Pierre et Miquelon et à l’étranger, les courriers seront envoyés, en tenant compte des temps d’acheminement des courriers, par avion et en tarif prioritaire.

Pour l’impression de ces courriers, le TITULAIRE doit mettre en place un processus sécurisé, qui doit pouvoir être audité sur place sur demande du commanditaire ou des délégués nationaux représentant les listes de candidats.

Le TITULAIRE doit garantir la fiabilité de l’ensemble du processus de recours aux 2 systèmes indiqués ci-dessous en cas de perte ou d’oubli des codes.

Pour les électeurs n’ayant pas reçu, ayant perdu ou oublié leur code d’accès au site de vote, le prestataire crée un site internet dédié sur lequel l’électeur peut accéder, soit directement, soit au travers de la page d’accueil du site de vote. L’électeur peut, à partir de cette page, effectuer une demande de renouvellement de mot de passe en s’identifiant (nom, prénom, date de naissance, NNI et un identifiant complémentaire à définir ultérieurement) afin de recevoir en retour un lien permettant de réinitialiser ses nouveaux codes personnels par Email ou par SMS, sur l’adresse de messagerie ou sur le numéro de téléphone de son choix. Les électeurs peuvent également contacter le prestataire par téléphone, via une ligne assistance téléphonique.

Lorsque le lien a été communiqué une fois via l’un des deux canaux indiqués ci-dessus (mail ou sms), aucune nouvelle communication n’est possible.

Le numéro de téléphone ou l’adresse mail indiqué par l’électeur sont à usage unique. Un 2e renvoi sera impossible sur un même numéro de téléphone ou une adresse mail déjà utilisée.

En cas exceptionnel de rejet d’un SMS par un opérateur téléphonique, l’électeur pourra se manifester auprès de la Direction, afin que celle-ci prenne contact avec le Prestataire. Ce dernier étudiera la demande en vérifiant dans son système la traçabilité du rejet par l’opérateur et l’échec de réception du SMS. Dans ce cas de figure uniquement, il sera toléré, après identification de l’électeur par le prestataire, un nouveau renvoi par mail.

Pour toute demande de renvoi de codes « oubliés », l’électeur recevra une information, par mail pour ceux qui possèdent une adresse mail professionnelle, ou par courrier, de la demande de renvoi de codes le concernant. Cette information ne contiendra pas les codes d’accès.

Un même numéro de téléphone ou une adresse de messagerie ne pourront être utilisés qu’une seule fois pour le renvoi d’identifiants. Dans le cas de l’envoi des identifiants par SMS, sur un téléphone portable, le renvoi des identifiants sur messagerie professionnelle n’est plus possible, et réciproquement.

Quel que soit le système de renvoi utilisé, les nouveaux identifiants générés annulent les précédents.

Enfin, en cas de recours contentieux devant une juridiction, le TITULAIRE doit être en mesure de fournir la liste des appels reçus avec les renseignements suivants : nom et prénom du demandeur, unité, jour et heure de l’appel ainsi que l’e-mail ou le numéro de téléphone sur lequel le code aura été re-communiqué.

Lorsque les nouveaux identifiants ont été communiqués une fois via l’un des deux systèmes indiqués ci-dessus, aucune nouvelle communication n’est possible. Cette information est portée à la connaissance de l’électeur s’il se connecte sur la page de renvoi des identifiants du site internet dédié et sécurisé.

En cas de génération de nouveaux identifiants, afin d’informer l’électeur de cette demande de renvoi :

• un courriel lui sera adressé, le lendemain, sur sa messagerie professionnelle lorsque le renvoi des identifiants aura été fait par le biais du site dédié et ;

• un courrier lui sera adressé, à son domicile lorsque le renvoi des identifiants aura été fait par le biais de l’assistance téléphonique.

Contrôle de l’atteinte des résultats :

Tests et recette

Niveau à atteindre :

Réception validée

L’assistance téléphonique, mise en place par le TITULAIRE pour le renvoi des codes (cf. exigence ci-dessus) doit également permettre aux électeurs rencontrant des difficultés pour voter d’obtenir une aide technique pour résoudre les problèmes rencontrés sur le site de vote. Elle est accessible pendant toute la durée du scrutin, telle que définie par le règlement électoral sur les plages horaires suivantes (heures de Métropole) :

• Les jours de semaine : de 7h30 à 20h 

• Le week-end et jour férié (le cas échéant) : de 13 h à 19 h 

Le TITULAIRE s’assure qu’un nombre suffisant de « hot liners » est mis à disposition durant les périodes déterminées ci-dessus (week end et jour férié compris), en tenant compte des pics d’affluence dans la journée (notamment en début et en fin de journée).

Afin d’assurer la traçabilité de ce processus et d’en vérifier la fiabilité, le TITULAIRE doit fournir aux délégués nationaux OS du GNC et aux interlocuteurs nationaux de l’ENTREPRISE, au plus près de la clôture du scrutin la liste récapitulative de l’ensemble des appels reçus pendant toute la durée de scrutin avec les mêmes informations que celles visées au paragraphe précédent.

Pendant toute la durée de l'opération, le TITULAIRE veille au bon déroulement des opérations de vote, Il assure l'assistance également, par exemple, pour :

• les problèmes liés à l'utilisation de l’interface d'administration ;

• l'information sur tout incident touchant au vote ou au fonctionnement du système ;

• les problèmes liés à l'utilisation des codes des mandataires, des membres du bureau de vote et les interlocuteurs élections (DDS) ;

• l’assistance à l’édition des résultats, des procès-verbaux et de la liste d'émargement.

Il convient de prendre les mesures nécessaires afin de permettre à tous les salariés, y compris les salariés en situation de handicap d’exercer leur droit de vote dans les meilleures conditions.

Pour cela, la solution respecte un référentiel d’accessibilité numérique :

• WCAG 2. 1 a minima niveau A

• RGAA 3.0 a minima niveau A

• Accessiweb HTML 5 / ARIA a minima niveau bronze.

• GRDF : L'accessibilité de votre application avec le RGAA (sharepoint.com)

L’ouverture du système de vote par Internet se fait au jour et à l’heure prévus par le protocole d’accord pré-électoral, les électeurs doivent avoir la possibilité de voter 24h/24, 7j/7 sans aucune interruption sur les supports web et mobiles (tablettes/smartphones…) jusqu’aux dates et heures prévues par les protocoles d’accord pré-électoraux.

Les électeurs auront ainsi la possibilité de voter à tout moment pendant la période d’ouverture du vote électronique, à partir de n’importe quel terminal Internet, de leur lieu de travail, de leur domicile ou de leur lieu de villégiature en se connectant sur le site sécurisé propre aux élections. En tant que de besoin, pendant la période ouvrée du scrutin, des moyens informatiques avec une connexion au site sécurisé du prestataire seront mis à la disposition des électeurs qui ne disposent pas déjà d’un matériel informatique permettant l’accès au site de vote.

Leur nombre et leur localisation seront adaptés à la configuration, notamment géographique, de chaque entreprise. Ils seront installés de telle manière que la confidentialité du vote soit garantie.

Par ailleurs, les salariés absents pendant la période du scrutin pourront également voter par Internet de leur domicile ou de tout autre lieu offrant un accès Internet.

Le TITULAIRE doit garantir la même qualité de service durant toute la durée du scrutin : il s’engage ainsi à garantir la disponibilité et la performance du site de vote en toute circonstance et, en particulier au moment des pics d’affluence.

L’authentification de l’électeur est assurée sur un serveur dédié à l’ENTREPRISE (non mutualisé avec d’autres clients) après saisie par l’utilisateur du code d’identification et du mot de passe. Toute personne non reconnue n’a pas accès aux pages du serveur de vote.

Le SERVICE doit respecter les règles de sécurité et les recommandations de l’ENTREPRISE encadrant la gestion des identifiants et des authentifications des utilisateurs du SERVICE, notamment les suivantes :

• L’accès au SERVICE nécessite une identification et une authentification préalables (hors accès à des informations à accessibilité libre)

• Les identifiants ou comptes utilisateurs génériques sont proscrits 

• Le SERVICE doit permettre de gérer des mots de passe robustes (complexité, initialisation, délai d’expiration, …) conformes aux exigences de sécurité de l’ENTREPRISE

• Toute tentative d’authentification en échec doit être journalisée

La saisie de son code d’identification, de son mot de passe et de sa date de naissance par l’électeur vaut signature de la liste d’émargement dès réception du vote.

A l’aide de ce code spécifiquement généré pour ce scrutin, l’électeur peut voter en toute confidentialité en se connectant sur le site sécurisé de l’élection créé par le TITULAIRE pour cette seule élection.

Intégration d’une phase de test la veille de l’ouverture du scrutin, sur le site de production.

Le jour de l’ouverture du scrutin et à l’heure fixée par le règlement électoral, il est procédé, avec le Groupe National Centralisateur à la vérification que l’urne est vide, scellée et chiffrée par des clés délivrées à cet effet par le TITULAIRE.

Chaque membre de bureau de vote local se verra également délivrer des clés afin de pouvoir procéder localement à cette même vérification.

Avant l’ouverture, un message d’accueil indique que le site de vote n’est pas encore ouvert. De même, après la clôture du vote et avant la publication des résultats, un message indique que le site est clos et que les résultats seront bientôt disponibles.

Le SERVICE doit permettre :

• Le vote blanc

• À l’électeur de voir l’ensemble des listes de candidats en présence sur un seul écran sans avoir à utiliser un ascenseur vertical

• À l’électeur de rayer un ou plusieurs noms dans une liste

• À l’électeur de revenir sur son choix avant validation

• La confirmation obligatoire du choix pour l’enregistrement du bulletin dans l’urne électronique

• La possibilité pour l’électeur de conserver une trace de son vote (impression d’un accusé de réception avec date et heure d’enregistrement du bulletin, à l'exclusion de toute information sur la nature de son vote)

Le logiciel de vote doit interdire :

• De sélectionner plus d’une liste

• De voter plusieurs fois

• Tout lien entre le nom de l’électeur et son vote

Logo de l’ENTREPRISE

Le SERVICE doit faire apparaître les logos Enedis et GRDF sur la page d’accueil du SERVICE.

Service facile à utiliser

Compte tenu du niveau informatique disparate des électeurs, une ergonomie particulièrement simple du site Internet est mise en place. Les électeurs doivent pouvoir utiliser le SERVICE sans formation préalable.

Saturation du site

En cas de connexions simultanées empêchant la connexion au SERVICE, un message d’attente sera affiché à l’écran, invitant l’électeur à patienter ou se connecter ultérieurement.

Sur l’écran d’accueil, il est clairement fait mention :

• De la date de la clôture de vote

• Du lien avec le site dédié pour une nouvelle (ou deuxième) communication des codes en cas de perte ou d’oubli

• Et des coordonnées et heures d'ouverture de l'assistance téléphonique à disposition de l’utilisateur.

Une fois connecté, l’électeur se voit présenter les seuls bulletins de vote correspondant à son collège.

L’électeur doit être capable de constater par lui-même que le choix qu’il a émis est bien conforme au bulletin enregistré dans l’urne au moment de la validation.

La validation du vote par l’électeur engendre automatiquement :

• L’émargement dans le fichier des électeurs

• L’enregistrement du bulletin de vote dans l’urne électronique

• L’impossibilité de voter à nouveau

• La présentation et l’envoi d’un mail à l'électeur d'un accusé de réception électronique mentionnant la date et l’heure de validation de son vote

• Une preuve de vote permettant au votant de vérifier la prise en compte de son vote sur un site internet régi par un commissaire de justice

Le logiciel de vote se ferme automatiquement, pour le premier tour, le lundi 6 novembre et pour le second tour, le lundi 20 novembre à l’heure définie par le protocole d’accord pré-électoral et l’accord vote électronique rendant impossible l’enregistrement de votes après la clôture du scrutin. Un délai de grâce de 10 minutes permettra aux électeurs qui se sont connectés juste avant l’heure de fermeture du scrutin de terminer leur vote.

Le même processus sera acté pour les élections au CSE-C de GRDF et d’Enedis, aux dates et heures convenues dans le protocole d’accord préélectoral dédié.

Un Groupe National Centralisateur est mis en place.

Il est composé de 2 interlocuteurs par OS ayant déposé une liste dans l’entreprise.

Ce GNC est en charge de :

• Vérifier la conformité de l’outil lors de la journée de recette

• Vérifier la conformité de l’urne lors du lancement du scrutin

Au niveau de chaque établissement, un bureau de vote est désigné.

Le bureau de vote est constitué d’un président et de deux assesseurs figurant obligatoirement sur la liste électorale de l’établissement CSE.

Les bureaux de vote sont institués selon les principes suivants :

• Il doit être mis en place un bureau de vote commun aux titulaires et suppléants pour chacun des collèges par établissement CSE. Ce bureau proclame la fermeture du scrutin, lance la procédure de dépouillement électronique, et procède à la proclamation des résultats et à l’établissement du procès-verbal des élections CSE.

Les membres du bureau de vote et les délégués de listes peuvent consulter sur un site sécurisé, grâce à une clé d’accès personnelle fournie par le TITULAIRE, sur le périmètre de l’élection :

• La liste d’émargement, mise à jour au moins 2 fois par jour (à 9h & 17h ; et à 15h le dernier jour du scrutin) et ce, en format Excel. Aucun résultat partiel n’est accessible pendant le déroulement du scrutin

• Le taux de participation mis à jour

• Les statistiques des flux de vote (heure/heure)

Les interlocuteurs élection (DRHT & DRTHS) et le GNC peuvent consulter sur un site sécurisé, grâce à une clé d’accès personnelle fournie par LE TITULAIRE, le taux de participation mis à jour.

Le TITULAIRE met à la disposition de l’ENTREPRISE une interface de contrôle du système. L’autorisation d’accès est limitée aux utilisateurs habilités.

L’accès à l’interface de contrôle est sécurisé selon le Protocole HTTPS et répond aux mêmes exigences techniques que le logiciel de vote.

Après l’ouverture de la période de vote, ce système de contrôle doit permettre d’avoir accès, exclusivement en lecture seule et sans modification possible, aux nombres de bulletins dans l’urne électronique.

Lancement du dépouillement

A l’heure de clôture du scrutin, déterminée par le protocole, le site de vote n’est plus accessible aux électeurs. Un délai de 10 minutes supplémentaire est admis pour permettre aux électeurs s’étant connectés à l’application juste avant la fermeture du scrutin, de finaliser leur processus de vote.

Les opérations de dépouillement seront effectuées dans les bureaux de vote mis en place pour chaque établissement CSE-E, regroupant les 3 collèges électoraux, titulaires et suppléants. Ces opérations se déroulent sous l’autorité du Président du bureau, avec la présence des assesseurs.

Compte tenu du dispositif retenu, le mode électronique permettra d’obtenir les résultats de manière quasi-instantanée.

Le président et 1 des assesseurs minimum introduiront respectivement leurs codes sécurisés délivrés par le système selon une procédure assimilable aux urnes à double cadenas.

Le dépouillement s’effectuera dans un premier temps pour les membres titulaires et dans un second temps pour les membres suppléants. Les attributions des sièges et la désignation des élus seront conformes aux dispositions du Code du travail.

Les résultats devront faire apparaître le nombre de voix obtenues par candidat, le nombre de voix obtenues pour chaque liste, ainsi que le nombre de sièges par liste.

Ainsi chaque bureau de vote constitué pour un établissement CSE vérifiera les éléments figurant sur les formulaires électroniques issus du système de vote reprenant strictement les mêmes éléments que les modèles CERFA en vigueur.

Le président du bureau de vote devra compléter le procès-verbal en validant la mention « élu(e) » au regard de chacun des candidats élus et il signera ensuite le procès-verbal ainsi que tous les autres membres du bureau de vote.

Par ailleurs, tous les membres du bureau de vote devront signer la liste d’émargement éditée à partir du système de vote.

En cas d’égalité des voix à la plus forte moyenne, le siège reviendra au candidat le plus âgé. Si cette éventualité se produit, il conviendra de traiter ce cas localement, de manière manuelle par le bureau de vote pour proclamer les résultats et remplir le procès-verbal.

A partir des résultats du bureau de vote, il convient de vérifier si la condition légale de quorum requise lors du premier tour est atteinte :

• Si le quorum n’est pas atteint, un second tour doit être organisé, selon le même dispositif de vote électronique. Néanmoins, les résultats du premier tour par liste et par candidat devront être comptabilisés pour l’ensemble de l’établissement considéré et transcrits au PV par le bureau de vote

• Si le quorum est atteint, l’ensemble des résultats est comptabilisé et transcrit au procès-verbal par le bureau de vote pour l’ensemble de l’établissement considéré

Que le quorum soit atteint ou non, le procès-verbal sera signé par chaque membre du bureau de vote.

Le prestataire est chargé de l’agrégation des résultats sous la forme de tableaux Excel le soir même du dépouillement pour chaque élection :

• Au niveau de chaque établissement CSE-E (nombre de suffrages exprimés et pourcentage pour chaque organisation syndicale y compris pour les listes d’entente et par collège électoral)

• Au niveau de l’entreprise (nombre de suffrages exprimés et pourcentage pour chaque organisation syndicale y compris pour les listes d’entente et par collège) sur la base des résultats du 1er tour des élections CSE-E titulaires conformément aux règles de répartition fournies au prestataire en amont du scrutin

Le prestataire communique les résultats aux membres du GNC présents au siège de l’entreprise.

Le prestataire communique également le taux de participation par collège pour tous les niveaux ci-dessus.

Les procès-verbaux CERFA, pré-remplis par LE PRESTATAIRE, comportant expressément l’heure d’ouverture du scrutin (le 6 novembre 2023 à 8h) et l’heure de fermeture du scrutin (13 novembre 2023 à 17h) pour le 1^er tour et l’heure d’ouverture du scrutin (le 20 novembre 2023 à 8h) et l’heure de fermeture du scrutin (27 novembre 2023 à 17h) pour le 2d tour sont générés par le TITULAIRE en présence des membres du bureau de vote et des mandataires. Ils sont signés par les membres du bureau de vote en local.

Le TITULAIRE est chargé de l’agrégation des résultats sous la forme de tableaux Excel :

• Le soir même du dépouillement :

• Au niveau ENTREPRISE, (nombre de suffrages exprimés et pourcentage pour chaque organisation syndicale et par collège).

• Au niveau de chaque établissement (nombre de suffrages exprimés et pourcentage pour chaque organisation syndicale et par collège).

Le soir du dépouillement, le TITULAIRE édite une présentation des résultats sous format Powerpoint et propose une analyse (notamment contexte, participation, résultat global et par collège).

Le TITULAIRE conserve sous scellés, jusqu’à l’expiration du délai de recours et, lorsqu’une action contentieuse a été engagée, jusqu’à la décision juridictionnelle devenue définitive, les données comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d’émargement, de résultats et de sauvegarde.

Le TITULAIRE garantit la restauration possible des fichiers supports le cas échéant.

Le SERVICE doit être capable de traiter les volumétries de données suivantes :

Le SERVICE implémente les données électeurs non exhaustives suivantes :

Le SERVICE implémente les données candidats non exhaustives suivantes :

Le SERVICE implémente les données des membres du bureau de vote non exhaustives suivantes :

Le SERVICE implémente les données des mandataires de liste non exhaustives suivantes :

Le SERVICE implémente les données des représentants employeurs non exhaustives suivantes :

Le SERVICE doit assurer l’intégrité des données et des traitements.

Le SERVICE doit alerter de manière automatique en cas de tentative de modification frauduleuse de l’intégrité d’au moins une donnée ou de détection d’une perte d'intégrité avérée.

Le SERVICE s’engage à assurer la protection contre toutes les attaques et codes malveillants pouvant perturber le bon fonctionnement des applications ou la régularité des scrutins.

Aucune perte de données n’étant acceptable, une alerte doit-être envoyée. (PDMA)

La sécurité des données est assurée par un procédé approprié de scellement des données, des programmes et des systèmes. Cette robustesse garantit la non-altération et le contrôle strict de l’accès aux serveurs durant le vote. Le scellement du contenu de la globalité des votes se fait automatiquement à la date de clôture du scrutin.

L’accès aux résultats du vote ne doit être possible que le jour du dépouillement.

Le TITULAIRE doit s’engager à assurer en permanence pour chaque vote l’anonymat, l’intégrité, le secret, la sincérité et l’unicité, ainsi que la liberté de choix des électeurs.

De façon générale, le TITULAIRE doit s’engager à assurer et garantir la sincérité du scrutin et à en permettre le contrôle effectif par le Juge de l’élection (juge judiciaire compétent en matière d’élection professionnelle).

Afin de répondre aux exigences posées par les articles L.2314-26 à 29 du code du travail, le flux du vote et celui de l’identification de l’électeur sont séparés. La solution de vote doit utiliser le chiffrement de la communication et celui des bulletins de vote indépendamment.

Le bulletin de vote est crypté et stocké dans une urne électronique dédiée sans lien aucun avec le fichier d’identification des électeurs. Ce circuit garantit ainsi le secret du vote et la sincérité des opérations électorales.

Le bulletin doit faire l’objet d’un chiffrement ininterrompu depuis le poste de l’électeur jusqu’au dépouillement.

Les protocoles, algorithmes et tailles de clé utilisés doivent être spécifiés par le TITULAIRE.

Le SERVICE doit assurer la confidentialité des données et des traitements.

Le SERVICE doit alerter de manière automatique l’ENTREPRISE en cas de tentative d’accès frauduleux aux données et aux traitements ou de détection d’un accès frauduleux avéré.

Le SERVICE doit assurer la traçabilité des activités liées aux données et aux traitements et sécuriser la confidentialité et l’intégrité des journaux de traces.

Le SERVICE doit décrire quelles sont les procédures et dispositions adoptées pour garantir la traçabilité et l’intégrité des programmes.

Tous les accès et tentatives d’accès au système doivent être tracés et remontés au commanditaire et aux délégués nationaux représentant les listes de candidats en temps réel et font l’objet d’un rapport final à la clôture du scrutin et adressé au commanditaire dans un délai de 24h.

Toutes les modifications et gestes dans le logiciel de vote réalisés par l’ENTREPRISE, par le TITULAIRE ou l’administrateur doivent être également tracées et ceux dès les premiers accès à l’outil (modifications des listes, …).

L’historique de ces modifications doit être exploitable par des personnes de l’ENTREPRISE non informaticiennes.

[DICT : Niveau 2]

Le SERVICE dispose d’une IHM de gestion des comptes utilisateurs permettant de réaliser les activités suivantes :

• Créer, modifier, activer, désactiver, supprimer un compte utilisateur ou groupes d’utilisateurs

• Associer un utilisateur ou plusieurs à un ou plusieurs groupes d’utilisateurs

• Définir la période de validité des comptes utilisateurs et des groupes d’utilisateurs

Le SERVICE doit permettre de gérer les droits d’accès des utilisateurs aux données et aux traitements via des profils utilisateurs différenciés sur un périmètre d’activité donné pour une durée donnée.

La gestion des droits d’accès et des habilitations ne doit être possible qu’avec un profil spécifique dédié à la supervision et au contrôle.

Via ce profil dédié à la supervision et au contrôle, le SERVICE doit permettre de générer :

• Un état des droits attribués à chaque utilisateur ou groupe d’utilisateur

• Un état des utilisateurs ou groupes d’utilisateurs ayant accès à une ressource SI

Le SERVICE doit permettre de gérer la volumétrie d’utilisateurs ci-dessous :

La performance attendue concernant l’affichage de l’IHM du SERVICE est la suivante :

La performance attendue concernant les traitements réalisés par le SERVICE est la suivante :

Caractéristique du poste de travail GRDF : nommé Saturne v2, il est exploité sous Windows 10 et 11 et Office click to run. Il est totalement intégré aux services Offices 365. Navigateur par défaut : Edge Chromium (dernière version)

Le SERVICE doit fonctionner en interne et en externe de l’ENTREPRISE a minima depuis les types de postes utilisateurs suivants :

Le SERVICE doit fonctionner, pour les utilisateurs de l’ENTREPRISE, sur les versions de navigateurs avec un des navigateurs qualifiés par GRDF :

• Edge Chromium (dernière version)

• Firefox (dernière version)

Le SERVICE doit fonctionner, pour les utilisateurs externes à l’ENTREPRISE, a minima sur les navigateurs suivants :

• Chrome (dernière version)

• Firefox (dernière version)

• Safari (dernière version)

• Edge Chromium (dernière version) Mais de manière générale, le SERVICE doit fonctionner sur les navigateurs en vigueur lors des élections indépendamment de tout greffon.

Le SERVICE doit respecter les règles d’intégration des applications sur les postes de travail de l’ENTREPRISE.

Le SERVICE devra être développé en Suivant les standards Internet :

• Normes HTML 5 et CSS niveau 3 ;

• Accessibilité (niveau A de la norme WCAG 2.0 au sens W3C du terme).

Notamment, le SERVICE ne doit pas nécessiter d’utiliser les composants suivants :

Les plug-ins Adobe (Flash, Acrobat)

Les ActiveX

Les Applet Java (JRE)

Office

Navigateur

…

Le SERVICE ne doit avoir aucune adhérence avec des versions d’applications bureautiques. Cette exigence est une exigence éliminatoire.

Le SERVICE doit fonctionner à minima sur les configurations d’écrans suivantes :

Le SERVICE est constitué de l’ensemble des composants permettant de gérer un processus complet d’élection.

Client léger sécurisé sans téléchargement

Le SERVICE doit obligatoirement comporter une architecture de type « client léger » sans aucun téléchargement sur le poste de l’électeur.

Le SERVICE doit respecter les dernières préconisations de l’IETF en termes de chiffrement TLS. Les échanges sont chiffrés par usage du Protocole TLS 1.2.

Il doit intégrer tous les mécanismes de sécurité physique et logique adéquats pour assurer :

• La fiabilité de l’ensemble

• Une protection des accès physiques

• Un contrôle d'accès logique

• Une gestion des droits

• L’intégrité des données

• La protection contre toutes les attaques et codes malveillants pouvant perturber le bon fonctionnement des applications ou la régularité du scrutin

Accès quel que soit l’environnement de travail

Le logiciel de vote électronique est une solution SaaS (Software as a Service), dont l’accès se fait par le navigateur web du votant. L’ensemble des électeurs dispose d’un environnement de travail très hétérogène et largement décentralisé.

En conséquence, le TITULAIRE doit proposer une solution technique minimisant la logistique du support et de déploiement de l’accès à l’application de vote et s’affranchir autant que possible de toute contrainte matérielle.

Dans la mesure du possible, les contraintes techniques de mise en œuvre (adresse IP, noms de domaines, ports ouverts, NAT, filtrage, firewall, proxy) sont minimales.

Pour l’ensemble des accès à la plate-forme (par les électeurs, administrateurs, organisateurs), l’utilisation de protocoles autres que https sur le port 443, sur les passerelles d'accès Internet (proxy) pour les utilisateurs, que ces protocoles soient encapsulés ou non, est interdite et non supportée aujourd’hui.

La solution devra pouvoir être utilisée au travers des solutions proxy de GRDF et d’ENEDIS ; un test de compatibilité avec ces solutions GRDF sera ains mené suffisamment en amont de la période d’usage prévue de la solution.

Pour les raisons de sécurité requises, le flux passera au travers des proxy GRDF et ENEDIS sans déchiffrement, avec usage de certificats publics émanant d'autorité de certification reconnues.

Le TITULAIRE doit détailler de façon précise les protocoles entre le poste utilisateur et ses serveurs.

Les numéros de ports des Protocoles réseaux utilisés sont normalisés. L’ensemble des prérequis techniques est clairement indiqué dans la réponse.

Le site doit être autoportant, sans injection de contenu dans un site tiers.

Toutes les communications réseau entre l’ENTREPRISE et le TITULAIRE basées sur le protocole IP seront faites de manière native en IPv4. Néanmoins si le TITULAIRE supporte sur ses infrastructures le protocole IPv6, il sera expressément demandé de rendre le service compatible IPv4 et IPv6 par le biais du double adressage (aussi connu par « double pile » ou « dual stack ») afin de permettre aux utilisateurs ayant IPv6 depuis leur domicile d’accéder au service au travers de ce moyen de communication.

Si le TITULAIRE vient à activer IPv6 sur ses infrastructures et plus particulièrement sur le service avant la recette initiale, le TITULAIRE devra en informer l’ENTREPRISE afin que des tests de compatibilité soient réalisés lors de la réception de la solution et vérifier ainsi, qu’il n’y ait pas de régressions.

Si le TITULAIRE vient à activer IPv6 sur ses infrastructures et plus particulièrement sur le SERVICE après la recette initiale, le TITULAIRE devra en informer l’ENTREPRISE afin qu’une recette soit réalisée et vérifier qu’il n’y ait pas de régressions.

En réponse aux besoins du présent CCTP, le TITULAIRE fournit une solution sous forme de SERVICE, des droits d’utilisation de ce SERVICE et la documentation du SERVICE.

Le TITULAIRE configure et paramètre le SERVICE pour répondre aux besoins de l’ENTREPRISE.

Le TITULAIRE fournit un document récapitulant la liste des fonctionnalités livrées, les éventuels écarts par rapport à la demande initiale, les informations techniques nécessaires à l’interconnexion du SERVICE avec le reste du SI, ainsi que toute autre information qu’il juge nécessaire pour la mise en place et le bon fonctionnement du SERVICE.

Le TITULAIRE corrige les anomalies détectées lors des tests de l’ENTREPRISE.

Le TITULAIRE doit traiter et corriger les anomalies survenant sur le SERVICE selon le processus de gestion des anomalies.

Il doit notamment appliquer systématiquement les correctifs relatifs à la sécurité du SERVICE.

Le TITULAIRE garantit la non-régression fonctionnelle et technique du SERVICE consécutivement à l’application des correctifs.

Le TITULAIRE met en œuvre, héberge et maintient une infrastructure technique qui permette d’implémenter et d’exploiter le SERVICE conformément aux exigences de qualité, de performance, de disponibilité et de sécurité de l’ENTREPRISE définies dans le présent CCTP.

Le TITULAIRE met en œuvre et maintient un accès Internet qui permet :

• aux utilisateurs internautes d’accéder à l’environnement de production du SERVICE ;

• aux utilisateurs de l’ENTREPRISE d’accéder à l’ensemble des environnements définis dans le présent CCTP.

Le TITULAIRE doit héberger et exploiter le Service conformément aux exigences du chapitre « Exigences de production du Service ».

Les données relatives aux électeurs inscrits sur les listes électorales ainsi que celles relatives à leur vote sont traitées par des systèmes informatiques distincts, dédiés et isolés, respectivement dénommés fichier des électeurs et contenu de l'urne électronique.

Le TITULAIRE indique le (ou les) site(s) de production du matériel de vote et la localisation des serveurs du système de vote électronique sur le territoire national, ceux-ci doivent être accessibles pour une visite sur simple demande du commanditaire ou des délégués nationaux représentant les listes de candidats.

Le TITULAIRE doit avoir la totale maîtrise de sa plate-forme et les serveurs doivent bénéficier d’un SERVICE d’hébergement de qualité professionnelle.

Le TITULAIRE doit décrire, sous forme de schémas commentés, l’architecture (logicielle, matérielle et réseau) qu’il compte mettre en œuvre, ainsi que les flux associés. En particulier, il précise les positions des serveurs web et des serveurs de données dans l’architecture et les différents dispositifs techniques de sécurité. Il donne aussi une cartographie des différents flux générés (exploitation, administration, maintenance, …)

Le TITULAIRE garantit la disponibilité du SERVICE conformément aux exigences de disponibilité formulées dans l’ensemble des documents contractuels, dont notamment le CCTP.

Le TITULAIRE doit mesurer la disponibilité du SERVICE par un test réalisé toutes les 5 minutes. Le SERVICE est considéré comme indisponible à la suite de 2 connexions infructueuses consécutives.

La disponibilité du SERVICE de note doit être maximale. Elle est assurée tant au niveau matériel qu’au niveau accessibilité réseau.

Le TITULAIRE s’engage sur une disponibilité minimale de 99,9% pendant la période de vote. (DIMA)

Le TITULAIRE doit mettre en œuvre les dispositions nécessaires pour relancer le SERVICE en cas d’indisponibilité.

Tout incident entravant la disponibilité de la plateforme doit être tracé et remonté au commanditaire et aux délégués nationaux représentant les listes de candidats, en temps réel et à la clôture du scrutin.

En cas de sinistre ou d’incident majeur survenant sur le site nominal d’hébergement du SERVICE, le TITULAIRE garantit la reprise du SERVICE sur un site de secours distant.

Le TITULAIRE doit répondre aux mêmes exigences de disponibilité, de performance, de sécurité et de qualité du SERVICE sur le site de secours que sur le site nominal d’hébergement du SERVICE.

Le TITULAIRE met en place une organisation, des procédures et des moyens permettant d’assurer cette continuité d’activité et également d’effectuer le retour au fonctionnement nominal.

Les mécanismes mis en œuvre pour assurer la communication entre les 2 sites sont décrits, notamment en cas de défaillance du site principal.

Tous les incidents liés au logiciel de vote sont remontés au commanditaire et aux délégués nationaux représentant les listes de candidats.

Le TITULAIRE réalise les activités de gestion des environnements suivantes :

• mise en place, exploitation et maintenance du SERVICE ;

• installation et configuration du SERVICE (versions, mises à jour et correctifs) ;

• suivi des versions du SERVICE et des correctifs installés ;

sur les environnements suivants :

Le TITULAIRE fournit un reporting sur les dates, heures d’installation des versions et correctifs du SERVICE par environnement.

Les exigences de suppression des données et du PV de destruction s’appliquent pour l’intégralité des environnements.

Le TITULAIRE met en œuvre une gestion des incidents (au sens ITIL du terme) pour tout dysfonctionnement impactant le service attendu.

Le TITULAIRE doit pouvoir tracer, qualifier, analyser et corriger les dysfonctionnements qui entraînent une indisponibilité totale ou partielle du SERVICE ou qui entraînent une baisse de performance rendant le SERVICE inutilisable.

Les incidents peuvent être détectés :

• Soit par le TITULAIRE : dans ce cas il en informe l’ENTREPRISE 

• Soit par l’ENTREPRISE : dans ce cas elle en informe le TITULAIRE via le support utilisateur

• Soit par l’UTILISATEUR : dans ce cas le TITULAIRE en informe l’ENTREPRISE

Le TITULAIRE qualifie l’incident et son niveau de criticité et propose d’éventuelles solutions palliatives ou de contournement qui permettraient de minimiser l’impact de l’incident.

Les niveaux de criticité sont les suivants :

• Incident bloquant : dysfonctionnement entraînant l’indisponibilité ou une baisse de performance d’au moins une fonctionnalité essentielle du SERVICE, pour l’ensemble des utilisateurs du SERVICE. Il n’existe aucune solution palliative ou contournement acceptés par l’ENTREPRISE

• Incident majeur : dysfonctionnement entraînant l’indisponibilité ou une baisse de performance d’au moins une fonctionnalité non essentielle du SERVICE, pour l’ensemble des utilisateurs du SERVICE. Il n’existe aucune solution palliative ou contournement acceptés par l’ENTREPRISE

• Incident mineur : tout autre incident

Les incidents de sécurité suivent cette catégorisation.

A la demande de l’ENTREPRISE, la criticité d’un incident peut être revue à la hausse dans le cas où il existe un ensemble d’incidents analogues ou lorsque plus de 50% des utilisateurs sont touchés.

En cas d’incident survenant sur l’environnement de production, le TITULAIRE s’engage à rétablir la disponibilité et la performance du SERVICE dans les délais ci-dessous :

(*) (*(*) le délai est calculé à partir de la déclaration de l’incident

Le TITULAIRE fournit un reporting sur les incidents, comportant notamment les dates, heures, criticités, durées et analyses des indisponibilités.

En particulier concernant les incidents cybersécurité, le TITULAIRE garantit l'information dans un délai maximal de 24h auprès des équipes cybersécurité de GRDF et ENEDIS aux adresses : grdf-cybersecurite@grdf.fr et CYBER-DEFENSE@enedis.fr

Dans le cadre du traitement de l’incident, une analyse de cause doit-être faite et un plan d’action proposé afin que l’incident ne se reproduise pas.

Le TITULAIRE met en œuvre une gestion des anomalies (au sens ITIL) pour tracer, qualifier, analyser et corriger les non-conformités par rapport à une exigence spécifiée dans l’ensemble des documents contractuels, dont notamment le CCTP ou à un fonctionnement attendu du SERVICE.

Les anomalies peuvent être détectées :

• Soit par le TITULAIRE : dans ce cas il en informe immédiatement l’ENTREPRISE 

• Soit par l’ENTREPRISE : dans ce cas elle en informe le TITULAIRE via le support utilisateur

Le TITULAIRE qualifie l’anomalie et son niveau de criticité et propose d’éventuelles solutions palliatives ou de contournement qui permettraient de minimiser l’impact de l’anomalie.

Les niveaux de criticité sont les suivants :

• Anomalie bloquante : anomalie qui empêche l’utilisation de tout ou partie de fonctionnalités essentielles du SERVICE, par l’ensemble des utilisateurs du SERVICE ou par les utilisateurs d’un processus métier critique et qui n’a pas de solution de contournement

• Anomalie majeure : anomalie qui empêche l’utilisation de tout ou partie de fonctionnalités non essentielles du SERVICE par une population d’utilisateurs et qui n’a pas de solution de contournement

• Anomalie mineure : toute autre anomalie, dont défaut ou imperfection, qui n’empêche pas l’usage normal du SERVICE

A la demande de l’ENTREPRISE, la criticité d’une anomalie peut être revue à la hausse dans le cas où il existe un ensemble d’anomalies analogues ou lorsque plus de 50% des utilisateurs sont touchés.

La validation de la qualification revient à l’ENTREPRISE et en cas de litige, c’est l’ENTREPRISE et elle seule qui décide du niveau de criticité.

En cas d’anomalie survenant sur l’environnement de production, le TITULAIRE s’engage à la corriger dans les délais ci-dessous :

(*) le délai est calculé à partir de la déclaration de l’anomalie

Le TITULAIRE fournit un reporting sur les anomalies, comportant notamment les références et criticités des anomalies, dates de déclaration, et version de dates de correction des anomalies.

Le TITULAIRE s’engage à respecter les exigences applicables de l’annexe sécurité, conformément aux déclinaisons opérationnelles décrites dans le PAS qui sera rédigé par le TITULAIRE.

L’ENTREPRISE se réserve la possibilité d’initier un audit cybersécurité de la plate-forme, et cela sans frais supplémentaire. Les vulnérabilités critiques, voire élevées devront être traitées par le TITULAIRE selon les délais prévus pour les anomalies bloquantes.

Le TITULAIRE s’engage à répondre au questionnaire cybersécurité d’AO en annexe (onglet Maturité et SaaS)

Le TITULAIRE nomme une équipe projet constituée de façon permanente d’un chef de projet et d’un ou deux interlocuteurs en appui technique disponibles 24H/24 pour gérer la Prestation. Ils ont la charge d’organiser opérationnellement le déroulement de la prestation et d’assurer une réactivité immédiate (chef de projet + appui technique). Leurs responsabilités principales sont les suivantes :

• Gérer la relation opérationnelle avec l'ENTREPRISE 

• S’assurer de l’avancement de la prestation, des délais et des coûts 

• S’assurer du respect des engagements et de l'atteinte des niveaux de service définis 

• S’assurer de l'amélioration continue de la prestation réalisée pour l'ENTREPRISE 

• Gérer la résolution rapide et efficace des dysfonctionnements pouvant survenir sur la prestation 

• Consolider les informations nécessaires au reporting et les diffuser à l'ENTREPRISE

Il doit communiquer en priorité avec des interlocuteurs privilégiés de l'ENTREPRISE en fonction des problématiques (DDS, CSP RH, CSP IT). La DDS doit être informée de tous les échanges avec l’ENTREPRISE.

Le TITULAIRE met en place des processus, une organisation et des ressources pour assurer la qualité et la sécurité du SERVICE et de ses prestations. Il établit un Plan d’Assurance Qualité (PAQ) et un Plan d’Assurance Sécurité (PAS).

Le PAQ contenant à minima :

• L’ensemble des processus et des activités de la prestation :

• L’organisation, le rôle et les responsabilités des acteurs du TITULAIRE 

• Les modalités de communication entre l’ENTREPRISE et le TITULAIRE 

• Les règles d’interaction entre l’ENTREPRISE et le TITULAIRE (réunions, mode de suivi (indicateurs) et reporting au pilote de prestation, suivi de planning, d'actions et d’avancement, suivi budgétaire, prise et suivi de décisions, suivi des risques, traitement des incidents) 

• La périodicité des réunions prévues 

• Le processus de gestion de crise 

• La gestion de la documentation (organisation de la documentation, identification et classification des documents, …) 

• Les processus de gestion des incidents, de gestion des problèmes, et de gestion des anomalies

• La gestion des écarts par rapport aux périmètres fixés dans le CCTP

  • Le contexte opérationnel :

• L’articulation de la prestation en phases, activités et tâches à réaliser

• L’environnement méthodologique (méthodes et outils de conduite de la prestation, de conception, de réalisation, de test)

• Les modalités et dispositifs de passage des jalons de la prestation

• La description du Plan de réversibilité et du Plan de déroulement de la réversibilité.

  • Le Plan d’Assurance Sécurité (PAS) proposé par le TITULAIRE et reprenant à minima les exigences reprises dans l’annexe sécurité jointe.

Le TITULAIRE s’engage à effectuer toutes les mises à jour nécessaires au cours de la prestation, le cas échéant, afin que le PAQ et le PAS soient le reflet de la prestation réalisée. Toute modification du PAQ et du PAS est soumise au Comité de Suivi.

L’ENTREPRISE dispose de 2 semaines pour valider le PAQ et le PAS puis le TITULAIRE dispose d’une semaine pour prendre en compte les remarques de l’ENTREPRISE.

Une situation de crise peut être déclenchée par le TITULAIRE ou par l’ENTREPRISE en cas de problème de fonctionnement du SERVICE, notamment dans les cas suivants :

• L’engagement de disponibilité du SERVICE n’est pas tenu 

• Des dysfonctionnements graves ou récurrents impactent le bon fonctionnement du SERVICE 

• Un comportement anormal du SERVICE met en danger le SI de l’ENTREPRISE ou la sécurité des données ; en particulier en cas d’incident cybersécurité

… et que ces problèmes ne peuvent plus être gérés par les acteurs et les procédures habituels.

Des crises peuvent également être déclenchées via une procédure d’escalade en cas de différend persistant entre le TITULAIRE et l’ENTREPRISE, notamment lorsqu’une situation pourrait mettre en péril le planning ou la qualité des prestations, par exemple dans les cas suivants :

• Non-respect récurrent des délais de livraison des livrables

• Absence de réponse aux demandes de support 

• Désaccord sur des décisions à prendre 

• Dysfonctionnement lié à une mauvaise qualité de service 

• Dysfonctionnement au niveau de la communication interne ou externe

Le TITULAIRE doit s’impliquer dans le suivi des crises même si leur origine n’est pas de sa responsabilité et il agit en coordination avec l’ensemble des acteurs concernés de l’ENTREPRISE pour sortir au plus vite des crises.

Dès le démarrage de la crise, l’ENTREPRISE et le TITULAIRE organisent une réunion pour établir un diagnostic de la situation, évaluer les risques et mettre en place des moyens et une organisation permettant de gérer la crise. L’ENTREPRISE et le TITULAIRE conviennent d’un plan d’actions pour résoudre les problèmes et revenir au plus vite vers une situation normale. Une fois la crise terminée, l’ENTREPRISE et le TITULAIRE font un retour d’expérience.

Taux de disponibilité

PDMA

Complétude de la documentation

Vérification d’Aptitude de Bon Fonctionnement (VABF) : nombre d’anomalies résiduelles

Qualité des correctifs : taux de correctifs recettés KO

Nombre d’anomalies détectées par version du Service