Les cahiers des clauses administratives générales (CCAG) sont des documents généraux approuvés par arrêté, auxquels les acheteurs peuvent renvoyer pour définir les stipulations de nature administrative de leurs marchés.
Aujourd’hui, cinq catégories de marchés font l’objet d’un CCAG spécifique :
- Le CCAG FCS (Fournitures courantes et services) ;
- Le CCAG Travaux ;
- Le CCAG PI (Prestations intellectuelles) ;
- Le CCAG MI (Marchés industriels) ;
- Le CCAG TIC (Techniques de l’information et de la communication).
La Direction des Affaires Juridiques (DAJ) du Ministère de l’Économie a lancé une consultation publique sur la révision des cinq cahiers des clauses administratives générales et à la création d’un sixième cahier des clauses administratives générales applicable aux marchés de maîtrise d’œuvre.
RÉPONSE D’EUROCLOUD FRANCE
Eurocloud France accueille avec grand intérêt la consultation publique de la DAJ relative à la révision des cinq CCAG et à la création d’un sixième CCAG applicable aux marchés de maîtrise d’œuvre. Nous suivons avec intérêt vos travaux d’intégration du nouveau cadre législatif, réglementaire et jurisprudentiel, en particulier des notions et responsabilités introduites par le RGPD.
Nous nous associons également à l’objectif de la DAJ de modernisation des documents afin de tenir compte des besoins d’évolution identifiés par l’ensemble des acteurs de la commande publique en matière d’exécution des marchés publics, dont nos adhérents font pleinement partie en tant que fournisseurs de capacités informatiques aux acteurs de la sphère publique. A cet effet, Eurocloud France a rédigé un Guide Pratique en mars 2019 en partenariat avec CISPE.cloud. Il est à noter que ce document décrit 10 clés concrètes de modèle d’achat du cloud à prendre en compte.
La stratégie cloud de l’Etat, publiée en 2018 et la doctrine d’utilisation associée visent à « développer massivement l’utilisation de l’informatique en nuage au sein de l’administration et à terme d’en faire la norme ». Dans le cadre de cette stratégie, le Gouvernement et le Législateur ont entrepris plusieurs actions permettant de simplifier l’accès aux services d’informatique en nuage (« cloud computing ») par les acteurs publics. Citons en particulier la récente intégration des dépenses d’informatique en nuage des collectivités territoriales aux dépenses éligibles au Fonds de compensation de la TVA.
L’évolution du CCAG-TIC engagée par la DAJ est une opportunité importante pour accélérer la modernisation et la transformation de l’action publique en simplifiant plus encore l’accès par les acheteurs publics aux capacités informatiques délivrées sous la forme d’un service (« Infrastructure as a service » ou « IaaS », « Platform as a service » ou « PaaS » et « Software as a service » ou « SaaS », désignés par « capacités informatiques » ou « capacités informatiques sous forme de service » dans la suite de ce document), liées à l’essor des technologies cloud. Ce modèle de délivrance de capacités informatiques permet en effet un approvisionnement simple, sécurisé, économique et rapide auprès d’un fournisseur, sans investissement préalable et avec le paiement des seules capacités informatiques utilisées pendant le marché (paiement à la consommation).
Dans le cadre de la présente consultation, Eurocloud France souhaite attirer l’attention de la DAJ sur les points suivants, sur lesquels l’actuel projet de CCAG-TIC pourrait être adapté.
En effet, comme cela est proposé par la DAJ via la création du nouveau CCAG-MOE, le CCAG-TIC pourrait intégrer des dispositions adaptées à ce nouveau mode de délivrance des capacités informatiques, afin d’éviter que les acheteurs publics soient dans l’obligation de déroger de façon massive à des dispositions inapplicables.
Les adaptations proposées dans le présent document pourraient être insérées :
- Soit en créant un nouveau chapitre relatif aux capacités informatiques délivrées sous forme de service ;
- Soit en insérant les spécificités propres à ce modèle de délivrance au sein de chaque article, lorsque cela est pertinent.
Pour de plus amples informations concernant les dérogations et compléments au CCAG-TIC proposées ci-dessous, merci de bien vouloir vous référer au tableau d’analyse exhaustif fourni en annexe du Guide Pratique.
1- Principe de Responsabilité Partagée : Concernant la responsabilité, le CCAG-TIC pourrait tenir compte de la répartition des responsabilités inhérentes à un modèle de délivrance de capacités informatiques sous forme de service, notamment en matière de sécurité et de protection des données. En effet, le modèle de responsabilité partagée propre aux dits services est la base sur laquelle sera défini l’ensemble des processus opérationnels : gestion de la sécurité, des configurations, des consommations, etc. S’il est de la responsabilité du fournisseur de proposer des services respectant les standards et réglementations en vigueur, il est en revanche de la responsabilité de l’acheteur public de mettre en œuvre et de configurer les services et fonctionnalités de sécurité supplémentaires sur la partie qui lui incombe (par exemple, dans un modèle « IaaS », l’acheteur public maîtrise la façon dont il organise et sécurise ses applications et données au sein de l’infrastructure gérée par le fournisseur).
Suivant le principe de responsabilité partagée, il conviendrait donc d’adapter les articles suivant du CCAG-TIC :
a) Article 8 – Réparation des dommages : Dérogation/Complément proposés. Les fournisseurs de capacités informatiques sont responsables de la sécurité des infrastructures et des données, les bénéficiaires des services sont quant à eux responsables de l’usage qu’ils en font. Ils sont également responsables de la conception et de l’architecture des applications et des solutions rendues opérationnelles grâce aux capacités informatiques. Il conviendrait donc de compléter les dispositions du CCAG-TIC en prévoyant une clause limitative de responsabilité des fournisseurs de capacités informatiques corrélée au montant du contrat et prévoir une exclusion des dommages indirects. Adaptation générale nécessaire dès lors que le marché ne sera pas un marché de fournitures.
b) Nouvel Article 24 – Surveillance en Usine : Dérogation proposée. Les visites et audits sur site ne sont pas adaptés eu égard aux conditions de sécurité particulièrement strictes applicables aux centres de données (compte tenu du fait que les fournisseurs de capacités informatiques sont responsables de la sécurité des centres de données). Il convient d’ailleurs de préciser que ces visites et audits des centres de données ne sont effectués que par des tiers.
c) Chapitre 8 – Résiliation : Complément proposé. Il apparait nécessaire de prévoir que les fournisseurs de capacités informatiques puissent suspendre temporairement l’accès aux services dans le cas où la sécurité de capacités informatiques serait compromise. Les cas de suspension définitive ou de dépréciation du service doivent également être prévus. En outre, il serait pertinent de compléter les stipulations du CCAG-TIC en prévoyant une faculté de résiliation unilatérale par les fournisseurs de services de capacités informatiques dans l’hypothèse où l’atteinte à la sécurité des services résulterait de la personne publique et où celle-ci ne serait pas en mesure d’y remédier.
2- Modalités Financières : Le CCAG-TIC pourrait être adapté au modèle de fourniture des capacités informatiques « à la demande », avec tarification mensuelle tenant compte de l’utilisation réelle constatée des services, et prévoir des opérations de vérification adaptées à la fourniture des services pendant la période convenue contractuellement. Le modèle de tarification des prestations pourrait également être flexible et permettre des variations du prix des services en fonction des prix du marché, généralement à la baisse.
a) Chapitre 2 : Prix et Règlement – Article 10 – Prix
Article 10.1 – Règles générales : Dérogation Proposée. Un prix invariable sur toute la durée du marché n’est pas adapté aux principes de fonctionnement et au modèle commercial des services de capacités informatiques.
b) Article 10.1.2 – Détermination des prix de règlement : Dérogation Proposée. Les modalités de mise en œuvre de l’actualisation, qui ne peut être effectuée qu’une seule fois et selon des conditions restrictives ne semblent pas de nature à permettre une modification du prix permettant de refléter les variations économiques susceptibles d’affecter l’industrie des services de capacités informatiques.
3- Modèle de fourniture des services de capacités informatiques en mode « IaaS » ou « PaaS » : Les fournisseurs de capacités informatiques proposent notamment des services d’infrastructure informatique, tel que des serveurs virtuels et du stockage. Bien que les services fonctionnent dans des centres de données de manière identique pour tous les utilisateurs, les bénéficiaires de ces capacités informatiques peuvent combiner les services et fonctionnalités proposées afin de personnaliser leur utilisation conformément à leurs besoins.
a) Article 5.3 – Mesures de Sécurité : Dérogation proposée. Les prestations objet du marché ne seront pas exécutées dans un lieu où des mesures de sécurité s’appliquent.
b) Article 13 – Délai d’exécution : Dérogation proposée. Il conviendrait de substituer la notion de « délai d’exécution » par celle d’engagement de qualité de service. Adaptation nécessaire – la réception des prestations ne se fera pas dans les locaux du prestataire et le marché n’a pas pour objet des prestations d’études.
c) Article 14 – Pénalités : Dérogation proposée. Les pénalités devraient être appliquées conformément aux conditions définies par les SLA des fournisseurs de services de capacités informatiques.
d) Nouvel Article 30 – Vérifications quantitatives et Nouvel Article 31 – Vérifications qualitatives : Dérogation proposée. Les procédures de vérification visées aux dits articles ne s’accordent pas avec la fourniture de services de capacités informatiques, dans la mesure où ces services sont standards, disponibles « sur étagère » et immédiatement mis à disposition des utilisateurs, en ligne.
e) Nouveaux Articles 43, 44 et 45 – Propriété intellectuelle : Dérogation proposée. De manière générale, la définition de l’étendue des droits d’utilisation du IaaS et du PaaS reposera alors sur la description des fonctionnalités et prestations couvertes. Il ne s’agira pas, comme dans le cadre d’une licence classique, de permettre à l’acteur public de « reproduire, représenter, exploiter, adapter, etc. », et autres droits qui sont généralement décrits dans des clauses de licence en vue d’assurer leur conformité au Code de la Propriété Intellectuelle français. Veuillez-vous reporter au Guide Pratique en annexe pour des éléments supplémentaires.
4- Terminologie propre aux services de capacités informatiques : Il conviendrait de compléter et de clarifier les stipulations du CCAG-TIC pour tenir compte de la terminologie propre aux services de capacités informatiques.
a) Chapitre Premier – Généralités – Article 2 – Définitions : Complément proposé : Il conviendrait de compléter les stipulations du CCAG-TIC en incluant une définition standard des services de type « IaaS » et « PaaS ».
b) Nouvel Article 17 – Lieu d’exécution : Dérogation proposée. Les notions de « lieu d’exécution des prestations » et d’ « usine » ne sont pas compatibles avec celles de centre de données.
c) Nouvel Article 28 – Installation et mise en ordre de marche : S’agissant d’un marché de capacités informatiques les notions d’installation et de mise en ordre de marche s’accordent à la mise à disposition aux bénéficiaires du portail de présentation des services de capacités informatiques par l’attributaire du marché.
d) Nouvel Article 32 – Décision après vérification : Complément proposé : Le CCAG-TIC devrait prévoir des engagements de qualité de service (ou «SLA» en anglais) recouvrant notamment la pérennité des données et la disponibilité des services. Le contrôle de la conformité et de la qualité des services fournis sera effectué par rapport à ces engagements.
e) Nouvel Article 33 – Admission, ajournement, réfaction et rejet : Dérogation proposée. Les services de capacités informatiques sont standards et immédiatement mis à disposition des consommateurs, en ligne.
f) Chapitre 6 : Dispositions spécifiques à la maintenance, la tierce maintenance applicative et a l’infogérance – Nouvel Article 37 – Définitions : Dérogation proposée. Il conviendrait d’inclure une définition de la maintenance qui renvoie aux services de capacités informatiques.
De plus, il pourrait être envisagé, par souci de clarté, de lister dans le CCAP les articles ne s’appliquant pas à la fourniture de capacités informatiques sous forme de service (cf. page 29 du Guide Pratique en annexe).
Ces évolutions nous paraissent indispensables pour tenir compte, au mieux, des spécificités de ce nouveau mode d’accès aux capacités informatiques par l’ensemble des acteurs publics et, à terme, accélérer la modernisation et la transformation de l’action publique dans les meilleures conditions et avec les meilleurs services.
Dans l’optique de vos prochains travaux, Eurocloud France se tient à la disposition des services de la DAJ pour apporter son concours à la rédaction détaillée d’un futur chapitre dédié à ce type de services informatiques dans le CCAG TIC.