Bienvenue, Invité. Veuillez vous connecter ou vous inscrire.
Avez-vous perdu votre courriel d'activation?
Mars 28, 2024, 01:21:54

Connexion avec identifiant, mot de passe et durée de la session
Rechercher:     avancée
278.424 Messages dans 35.430 Fils de discussion par 3.170 Membres
Dernier membre: KOPP
* Accueil Aide Rechercher Identifiez-vous Inscrivez-vous
+ 
|-+  SOS marchés publics pour les Pouvoirs Adjudicateurs et Entités Adjudicatrices
| |-+  Les news
| | |-+  cahier des clauses simplifiées de cybersécurité
0 Membres et 1 Invité sur ce fil de discussion. « sujet précédent | | sujet suivant »
Pages: [1] Imprimer
Auteur Fil de discussion: cahier des clauses simplifiées de cybersécurité  (Lu 5910 fois)
Alb11
Membre accro au forum ;-)
****
Hors ligne Hors ligne

Sexe: Homme
Messages: 360


« le: Octobre 11, 2018, 06:52:41 »

Bonjour,

Le document cité en objet est paru au JO du 27 septembre 2018 :

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000037436658&dateTexte=&categorieLien=id

Ce cahier des clauses n’est applicable qu’aux marchés qui s’y réfèrent (article 1er de l'Arrêté)

Bonne lecture.
 Sourire
Journalisée
goran
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Femme
Messages: 4.254



« Répondre #1 le: Octobre 11, 2018, 07:29:23 »

ce truc peut-il remplacer toutes les clauses RGPD qu'on s'efforce de rédiger Huh  Indéci
Journalisée
Ponta
Membre adhérent
Membre héroïque
***
Hors ligne Hors ligne

Sexe: Homme
Messages: 10.499


I'll be back


« Répondre #2 le: Octobre 11, 2018, 07:49:14 »

Si quelqu'un a des infos, ce serait un genre de CCAG ?

En tout cas, l'arrêté est court avec 11 articles sur 3 pages.
« Dernière édition: Octobre 11, 2018, 08:04:31 par Ponta » Journalisée

Agoraddicted

Qui fait le malin, finit dans le ravin.
Bon, ça ne s'écrit pas avec un C.
Ponta
Membre adhérent
Membre héroïque
***
Hors ligne Hors ligne

Sexe: Homme
Messages: 10.499


I'll be back


« Répondre #3 le: Octobre 11, 2018, 08:14:45 »

Je l'ai lu. C'est assez complexe pour qui ne maîtrise pas bien le vocabulaire de cybersécurité ou plus globalement les marchés de "logiciels". Mon post sera donc court et imprécis parce que je n'ai pas tout compris (doux euphémisme Roulement des yeux).

Ca fait référence à la protection des données et aux relations entre l'acheteur et le titulaire et ses sous-traitants. Il y a des clauses intéressantes notamment sur le "droit de regard" de l'acheteur. Il y a également des garanties pour l'acheteur. C'est une sorte de mini-CCAG. Ca rééquilibre les relations entre l'acheteur et le titulaire, à supposer que vous ayez un(e) expert(e) qui saura utiliser cet arrêté.

Certaines procédures pourront paraître surdimensionnées pour les "très petits, petits et moyens acheteurs" (TPA/PMA Souriant).
Journalisée

Agoraddicted

Qui fait le malin, finit dans le ravin.
Bon, ça ne s'écrit pas avec un C.
Vivaelparaguay
Membre du comité de lecture
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 2.466



« Répondre #4 le: Octobre 11, 2018, 08:23:05 »

La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données...
Journalisée
Michel
Administrator
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 10.118



« Répondre #5 le: Octobre 11, 2018, 10:05:08 »

Titre Alias : "Comment plomber l'ambiance chez le Candidat  Souriant    Grimaçant

Après lecture rapide ; pécadilles ?   B'en non !  , pauvres titulaires

Extraits :

2.3. Le référentiel général de sécurité (RGS) et la PSSI Etat s'appliquent aux marchés des entités couvertes par ces textes, sans qu'il soit besoin que le cahier des charges en fasse mention explicitement.

4.2. Par ailleurs, les règlementations applicables par exemple à la protection des données à caractère personnel (RGPD) ou aux données de santé prévoient la tenue de registres des traitements et la documentation des mesures de protection. Le candidat ou titulaire et leurs sous-traitants identifient proactivement les traitements de données personnelles ou sensibles et aident à la réalisation d'analyses d'impact relative à la protection des données et à la consultation préalable des autorités de contrôle.

4.3. Dans tous les cas, un titulaire de marché est tenu de fournir à première demande la documentation nécessaire

le titulaire a obligation d'enregistrer les failles auprès des autorités compétentes (CERT nationaux pour les éditeurs, registres RGPD et CNIL ou équivalent pour la divulgation de données personnelles, ANSSI pour les opérateurs d'importance vitale ou de services essentiels, etc.) 

8.1. Les clauses de ce cahier s'appliquent aux marchés publics en incluant tous les sous-traitants. Comme les titulaires sont responsables de leurs sous-traitants, les contrôles et les éventuelles actions de remédiation en cas de défaut, y compris jusqu'au remplacement, sont donc à la charge des titulaires.

11.4. Services de courriels
Authenticité des émetteurs garantie par l'émission de messages depuis des serveurs associés publiquement aux domaines, signature numérique par domaine et une politique publique liant le tout.
- Identification claire du statut des comptes émetteurs de courriels, par exemple en ajoutant un suffixe à ceux fournis aux personnels qui ne sont pas agents ou salariés directs.
- Intégrité des messages par leur signature numérique.

11.6. Sauvegardes des données stockées
- Sauvegardes 3-2-1 (3 copies, 2 technologies, 1 exemplaire hors site principal, donc avec chiffrement) pour se protéger des rançongiciels, des erreurs de manipulations ou des défaillances de matériels.

et ce ne sont que quelques extraits !

Si vous me trouvez un seul titulaire qui peut respecter tout ce texte et ses conséquences, vous me l'indiquez que je lui décerne une médaille !

Perso, je comprend le texte, mais aussi ses implications ! donc je ne candidate à aucune consultation qui s'y réfère  Grimaçant


Journalisée

EN RETRAITE Grimaçant depuis le 01/01/2021 et donc en recherche d'un successeur pour la partie technique informatique du forum. Clin d'oeil
ATT !   DISPARITION du FORUM si personne pour s'y intéresser ! ;-)
Vivaelparaguay
Membre du comité de lecture
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 2.466



« Répondre #6 le: Octobre 11, 2018, 11:09:27 »

si vous me trouvez un seul acheteur public qui peut respecter à la lettre le droit de la commande publique et ses conséquences...bon ben, pareil hein, médaille, tout ça  Grimaçant
Journalisée
goran
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Femme
Messages: 4.254



« Répondre #7 le: Octobre 11, 2018, 11:36:03 »

La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données...
  c était aussi ma question
Journalisée
Vivaelparaguay
Membre du comité de lecture
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 2.466



« Répondre #8 le: Octobre 11, 2018, 01:25:43 »

  c était aussi ma question

Toutaffé  Grimaçant

Je l'ai posée aux personnes concernées dans ma Cogip. Je vous dirai si j'ai un retour...
Journalisée
goran
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Femme
Messages: 4.254



« Répondre #9 le: Octobre 11, 2018, 01:39:04 »

Toutaffé  Grimaçant

Je l'ai posée aux personnes concernées dans ma Cogip. Je vous dirai si j'ai un retour...

on a peut-être dit une connerie, vu que personne ne nous répond  Grimaçant Grimaçant Grimaçant Grimaçant
Journalisée
Michel
Administrator
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 10.118



« Répondre #10 le: Octobre 11, 2018, 03:32:01 »

La question devient : est-ce qu'on peut se référer à ce texte dans tous nos marchés, et ainsi virer de nos CCAP toutes les tartines sur la protection des données, RGPD, cnil, sécurité des données...
Perso OUI cela me semble fait en ce sens.         plus simple pour la PP oui ; pour les OE ! j'ai un doute  Grimaçant
Journalisée

EN RETRAITE Grimaçant depuis le 01/01/2021 et donc en recherche d'un successeur pour la partie technique informatique du forum. Clin d'oeil
ATT !   DISPARITION du FORUM si personne pour s'y intéresser ! ;-)
Vivaelparaguay
Membre du comité de lecture
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 2.466



« Répondre #11 le: Octobre 18, 2018, 11:30:24 »

Perso OUI cela me semble fait en ce sens.         plus simple pour la PP oui ; pour les OE ! j'ai un doute  Grimaçant

la clause que des "vendeurs de clauses" nous demandent de mettre dans tous les contrats est plutôt pire  Sourire

concrètement on peut mettre ce qu'on veut dans les DCE, les OE signeront et s'engageront à tout et n'importe quoi, mais je m'interroge sur le fait d'imposer des clauses dont je suis certain que 90% de mes titulaires seront incapables de les respecter, voire de comprendre. On balance ça dans les marchés, on prévient, personne ne comprend rien et tout le monde est content. Un seul intérêt : si une autorité ou un particulier tatillon vient nous chercher des noises, on aura quelqu'un à massacrer sous prétexte qu'il avait pris un engagement incompréhensible pour lui. Vive le futur !
Journalisée
Michel
Administrator
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 10.118



« Répondre #12 le: Octobre 18, 2018, 02:34:31 »

concrètement on peut mettre ce qu'on veut dans les DCE, les OE signeront et s'engageront à tout et n'importe quoi, mais je m'interroge sur le fait d'imposer des clauses dont je suis certain que 90% de
mes titulaires seront incapables de les respecter, voire de comprendre.
On balance ça dans les marchés, on prévient, personne ne comprend rien et tout le monde est content. Un seul intérêt : si une autorité ou un particulier tatillon vient nous chercher des noises, on aura quelqu'un à massacrer sous prétexte qu'il avait pris un engagement incompréhensible pour lui. Vive le futur !
+1    Souriant    Souriant    Souriant
Journalisée

EN RETRAITE Grimaçant depuis le 01/01/2021 et donc en recherche d'un successeur pour la partie technique informatique du forum. Clin d'oeil
ATT !   DISPARITION du FORUM si personne pour s'y intéresser ! ;-)
Vivaelparaguay
Membre du comité de lecture
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 2.466



« Répondre #13 le: Novembre 13, 2018, 10:11:21 »

Et donc on ne sait toujours pas dire si ce nouveau CCAG suffit à remplacer toutes clauses sur le rgpd / la confidentialité et la protection des données dans le cadre de nos contrats ?
Journalisée
goran
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Femme
Messages: 4.254



« Répondre #14 le: Novembre 13, 2018, 11:00:14 »

Et donc on ne sait toujours pas dire si ce nouveau CCAG suffit à remplacer toutes clauses sur le rgpd / la confidentialité et la protection des données dans le cadre de nos contrats ?

 Grimaçant Grimaçant Grimaçant Grimaçant oui, on sait ou pas ??
Journalisée
Vivaelparaguay
Membre du comité de lecture
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 2.466



« Répondre #15 le: Novembre 14, 2018, 11:45:08 »

pour info, je viens de rencontrer et donc d'interroger le consultant qui aide ma cogip à se mettre en conformité avec le rgpd. Ils nous font toute une série de préconisation, clauses type et autre conventions cadre à faire signer.

J'ai donc sauté sur l'occasion pour lui demander si viser ce nouveau CCAG ne serait pas suffisant. Résultat :

- ce consultant a découvert le texte (!)
- après l'avoir lu en diagonal il lui a semblé plus protecteur (plus large, et plus précis également) que ses propres clauses (!)

Je lui ai donc demandé que sa société analyse ce texte, évalue sa portée, et vérifie la correspondance entre lui et leur fameuse clause type que je dois mettre partout, pour me permettre de viser ce CCAG tout en utilisant sa clause, avec les bonnes dérogations...
Journalisée
Michel
Administrator
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 10.118



« Répondre #16 le: Novembre 14, 2018, 03:31:30 »

- ce consultant a découvert le texte (!)
Souriant    Souriant    Souriant     
J'espère que vous appliquerez une réfaction sur la facture de sa prestation "minable"  très incomplète ! donc paiement incomplet.  Grimaçant
Journalisée

EN RETRAITE Grimaçant depuis le 01/01/2021 et donc en recherche d'un successeur pour la partie technique informatique du forum. Clin d'oeil
ATT !   DISPARITION du FORUM si personne pour s'y intéresser ! ;-)
arboretum
Junior
**
Hors ligne Hors ligne

Sexe: Femme
Messages: 65


« Répondre #17 le: D?cembre 12, 2018, 11:05:25 »

Et donc on sait toujours pas si on peut l'utiliser en remplacement ??
Journalisée
mighty
Administrator
Membre héroïque
*****
Hors ligne Hors ligne

Sexe: Homme
Messages: 7.201


« Répondre #18 le: D?cembre 12, 2018, 11:20:54 »

A suivre car la planète serait heureuse d'économiser justement trois pages de CCAP  Grimaçant
Journalisée
Pages: [1] Imprimer 
« sujet précédent | | sujet suivant »
Aller à:  

Propulsé par MySQL Propulsé par PHP Powered by SMF 1.1.21 | SMF © 2006-2011, Simple Machines XHTML 1.0 Transitionnel valide ! CSS valide !
Page générée en 0.053 secondes avec 19 requêtes.