Dates de réalisation

A définir en fonction du Protocole

d’accord préélectoral

JOURNAL DES PLIS NON DISTRIBUES

(PND)

• Une description la plus claire possible de l’exigence.

Disponibilité/ Intégrité/ Confidentialité/ Traçabilité

Classification des données par EDF

Le TITULAIRE s’engage à respecter :

• les délais et les échéances tels que décrits dans le calendrier électoral relatif au protocole d’accord pré-électoral. Joint en annexe.

• le planning des échanges entre le CSP RH et le Titulaire tout au long du projet.

Le début de la prestation commencera à la signature du protocole.

FCT_EXP_X

FCT_CNIL_X

FCT_ORG_X

Expertise

Constitution du Dossier CNIL

Organisation interne du TITULAIRE

FCT_AA_X

FCT_SCRU_X

FCT_BV_X

FCT_ASSI_X

Le Titulaire doit attester avoir soumis son service de vote électronique à une expertise indépendante et transmis le rapport de l’expert à la Commission Nationale Informatique et Libertés conformément aux dispositions du Code du travail et à la délibération CNIL 2019.

Le Titulaire fournit également la preuve de ce que l'expertise considérée concerne bien la version du logiciel qui sera effectivement utilisée pour l’élection professionnelle du comité social et économique d’EDF Petite Hydro du 26 octobre 2021 et que l'expertise a porté sur l'intégralité du code source. Le Titulaire spécifie les moyens techniques mis en œuvre pour procéder à cette vérification (le cas échéant, algorithme de calcul d’empreinte, taille de clé).

Par ailleurs, l'Entreprise diligentera avant le scrutin une expertise indépendante de la solution de vote proposée par le Titulaire.

En cas de recours contentieux, le Titulaire doit être capable de répondre à toute demande d’expertise judiciaire à la demande du juge électoral et d’apporter toute preuve du respect des Principes Électoraux.

Le Titulaire doit certifier, sous sa responsabilité exclusive, que le ou les logiciels qu’il a développés ou qu’il a modifiés et qu’il utilise pour les opérations électorales, ainsi que les procédés qu’il met en œuvre pour réaliser ces opérations sont de nature à assurer, à tout moment, le respect des Principes Électoraux.

Afin de s’en assurer, et, si besoin est, d’en administrer la preuve, le Titulaire doit attester avoir réalisé et fait réaliser par des personnes qualifiées et indépendantes les tests nécessaires, notamment :

• Le Logiciel a fait l’objet d’un audit détaillé, incluant notamment les questions de sécurité, destiné à s’assurer du respect des Principes Électoraux ;

• Le Logiciel ne contient aucune fonction espion ;

• Le Logiciel a fait l’objet d’une recette fonctionnelle et technique interne dont les résultats ont été positifs au regard du respect des Principes Électoraux.

Le Titulaire doit s’engager à prendre toutes les mesures nécessaires afin de conserver :

• Une copie scellée de la version du Logiciel ayant fait l’objet de l’Audit et de la Recette Interne ;

• Le rapport de l’Audit ;

• Le compte rendu validé de la Recette Interne ;

ainsi que de justifier de leur caractère original et fidèle.

Organisation générale

Le Titulaire précise l’organisation qu’il compte mettre en place pour le suivi de l’opération.

Expériences des intervenants

Le Titulaire s’engage sur la bonne adéquation des compétences des correspondants désignés et leur disponibilité sur tout le déroulement du contrat.

Recours à des sous-traitants

Le Titulaire indique le recours éventuel à des sous-traitants et détaille les opérations confiées à ceux-ci.

Avant la journée de recette et de formation, l’ENTREPRISE réalise des tests techniques : connexion, envoi, intégration des listes, …

Le Titulaire doit s’organiser pour mettre à disposition un environnement de recette, être disponible pour l’assistance à cette recette et corriger les anomalies rencontrées.

Préalablement à la mise en exploitation du service, à des fins de validation du système de vote électronique et pour favoriser l’appropriation de ce système par les utilisateurs, un comité de recette pour l’établissement EDF Petite Hydro est organisé selon les modalités suivantes :

Dans un (ou des) lieu(x) déterminé(s) par le représentant de l’employeur:

Il est procédé, en présence du représentant de l’employeur, par les délégués de liste, au moyens des codes qui leur ont été fournis, à :

• la recette des masques présentés à l’écran (équivalent du « Bon A Tirer »),

• le bon fonctionnement du processus de connexion,

• la présence et l’exactitude des listes de candidatures et des candidats associés,

• la présence et l’exactitude des professions de foi et des logos,

• le fonctionnement du processus de vote,

• le fonctionnement du processus de dépouillement.

Le Titulaire fournit une documentation sur:

• le système de vote,

• le système de dépouillement,

• le système d'administration.

Le Titulaire s’engage à rectifier toute erreur constatée pendant cette recette.

Si à l’issue de la journée de recette des corrections devaient être apportées, il sera procédé à une nouvelle recette dans les 48h et sur les seuls points corrigés.

Après la recette validée par l’Entreprise, le Titulaire :

• détruit les comptes fictifs ayant permis les contrôles,

• scelle les listes de candidats,

• remet à zéro le compteur des votes,

• vide et scelle l’urne électronique.

Le Titulaire doit pouvoir intégrer les listes suivantes :

• Listes électorales

• Listes des candidats

• Listes des membres des bureaux de vote

• Listes des délégués de liste et des représentants employeurs

Le Titulaire doit pouvoir intégrer en mode full (en annule et remplace) ou en mode delta les listes envoyées par l’Entreprise par lot (de 1 à 300 fichiers / type de liste).

Le titulaire propose une solution interne de mise à jour des listes électorales par les interlocuteurs RH de l’entreprise.

Le Titulaire doit être en mesure de mettre à jour les listes jusqu’à J-1 avant le début des votes.

A l’issue de l’intégration dans sa base de données, le Titulaire doit fournir les listes intégrées (export complet) dans un délai de 4h et la liste des rejets, des anomalies constatés, des occurrences en doublon, des occurrences en ajout, des occurrences retirées et des occurrences modifiées depuis le dernier import.

Les contrôles suivants devront être réalisés (non exhaustif) :

• Contrôles sur la liste électorale :

• Contrôler l’ancienneté (ancienneté supérieure à 3 mois)

• Contrôle de présence des données pour chaque électeur

• Contrôle des doublons sur la liste électorale

• Contrôler que le collège administratif de l’électeur correspond bien au collège de vote.

• Contrôles sur la liste des candidats :

• Contrôler que le candidat est bien électeur

• Contrôler que le candidat est dans le bon collège

• Contrôler la cohérence nombre de candidats / nombre de sièges

• Vérifier la cohérence collège / liste OS :

  • Aucune liste de candidats ne pourra être présentée dans le collège exécution par le syndicat CFE-CGC qui est un syndicat catégoriel (maîtrise / cadre) (il ne peut donc pas présenter de candidat dans ce collège)

• Le renseignement du tableau et en particulier du format du nom / prénom

• Vérifier l’ordre des listes : les listes doivent être classées par ordre alphabétique

• Contrôle sur la liste des membres de Bureau de Vote : Contrôler que les présidents et assesseurs des bureaux de vote :

• Sont électeurs

• Appartiennent au bon collège

• Contrôler le renseignement du tableau et en particulier du format du nom / prénom

• Contrôle sur la liste des délégués de liste et des représentants employeurs : contrôler que les délégués de liste :

• Sont électeurs

• Appartiennent à l’établissement CSE concerné

• Vérifier que l’OS a bien présenté des candidats

• Contrôler le renseignement du tableau et en particulier du format du nom / prénom

L’ENTREPRISE regroupe les listes et les adresse au Titulaire sous format informatique normé, Excel ou csv, au plus tard à la date prévue par le Protocole pour le premier envoi.

Le Titulaire doit pouvoir s’adapter à l’ordonnancement des listes imposé par l’Entreprise et assurer, dès réception des listes leur sécurité et leur confidentialité.

Le Titulaire doit pouvoir intégrer les professions de foi des candidats.

Les professions de foi sont transmises sous la forme d’un fichier au format PDF au plus égal à 1 Méga octets ou au maximum admissible par le Titulaire et sans lien hypertexte. Le logo est transmis en format gif ou jpeg. Tous les logos, de taille identique, apparaissent à l’écran au format carré

Le Titulaire met à dispo une interface pour déposer les listes et les logos.

Le Titulaire vérifie que la profession de foi ne comporte pas de lien hypertexte.

Le traitement de la liste électorale a pour objet de fournir à chaque électeur, des codes lui permettant d’exprimer son vote par voie électronique, d’identifier les électeurs ayant voté et d’éditer la liste d’émargement.

Les conditions pour être électeurs sont définies dans le Protocole. Elles s’apprécient à la date du 1^er tour du scrutin et valent pour l’organisation du premier tour et, le cas échéant, du second tour.

Les listes électorales, pour envoi au prestataire, sont établies par collège CSE et comportent les indications non exhaustives suivantes :

• civilité,

• nom et prénom,

• NNI,

• date d’embauche dans les IEG ou date de début de présence dans les locaux pour les salariés mis à disposition,

• ancienneté

• collège d’appartenance,

• collège électoral,

• Direction, Division, Unité Managériale et, le cas échéant, pour tenir compte du périmètre du CSE, des niveaux infra (DUM),

• adresse personnelle,

• adresse mail professionnelle,

• date de naissance,

• donnée SIRH liée à la question défi (ville ou pays de naissance pour les électeurs nés à l’étranger)

• 7 derniers caractères IBAN

• identifiant complémentaire à des fins d’envoi du code de vote et d’identification en cas de perte de ce code,

• sexe

La Solution doit permettre à chaque électeur de vérifier sur le site du TITULAIRE son inscription sur la liste électorale de son collège d’appartenance conformément au calendrier et aux dispositions du règlement électoral.

Le TITULAIRE gère les mises à jour successives prévues dans le calendrier électoral.

Contrôles lors de l’intégration des listes par le Titulaire

Le Titulaire en assure le traitement dès réception pour les intégrer dans le système de vote électronique.

La Solution de vote doit pouvoir réaliser des contrôles lors de l’intégration, par exemple :

• Le candidat doit être présent également dans la liste électorale

• Le nombre de candidats ne doit pas être supérieur au nombre de sièges

Le Titulaire liste tous les contrôles que le logiciel de vote effectue.

Traitement égalitaire des candidats à l’affichage sur la Solution de vote

Les listes sont présentées sur les écrans dans l’ordre alphabétique des sigles indiqués sur les logos fournis par les organisations syndicales.

Par ailleurs, afin d’assurer l’égalité de traitement entre les candidats et de ne pas favoriser une liste par rapport à une autre, le Titulaire veille à ce que la dimension des bulletins et la typographie utilisée soient identiques pour toutes les listes et permettent leur affichage sur une page d'écran unique, avec une résolution standard.

En cas de nécessité, la visibilité des candidats associés à la liste peut s’effectuer au moyen d’un ascenseur vertical. En aucun cas, un ascenseur horizontal ne doit être utilisé.

Chaque organisation syndicale ayant présenté des candidats peut désigner un délégué de liste pour participer au déroulement des opérations électorales.

Les listes de ces délégués de listes sont transmises au Titulaire par l’Entreprise au plus tard à la date fixée par le Protocole.

Le Titulaire assure la réalisation, diffusion et gestion des différents courriers vers les électeurs après validation au préalable des représentants de l’employeur EDF Petite Hydro

Le Titulaire doit mettre en place un processus sécurisé pour l’impression et mise sous pli des courriers aux électeurs. Ce processus doit pouvoir être audité sur place sur demande de l’ENTREPRISE.

Pour des raisons environnementales, les courriers sont imprimés en noir et blanc.

Le Titulaire adresse à chaque électeur au plus tard aux dates fixées par le Protocole à son domicile, par courriers (dans une enveloppe portant le logo « EDF », l’adresse de retour et la mention « confidentiel élections »), une note explicative (au recto) et un code identifiant personnel généré de façon aléatoire par le prestataire. Le Titulaire envoie les mots de passe par la messagerie professionnelle de l’électeur lors de la validation de l’identifiant sur le site de manière automatique.

L’envoi initial de l’identifiant personnel et du mot de passe pour l’électeur sans adresse mail professionnelle

Ces électeurs recevront leur identifiant et mot de passe selon le processus suivant :

- par courrier postal adressé au domicile de l’électeur (dans une enveloppe portant le logo « EDF », l’adresse de retour en cas de non distribution ainsi que la mention « CONFIDENTIEL ELECTIONS ») : la note explicative (au recto) et un identifiant personnel généré de façon aléatoire par le prestataire

- par sms sur numéro de téléphone portable déclaratif donné par l’électeur lors de la connexion : un mot de passe. L’électeur devra saisir l’identifiant reçu par courrier, répondre à 2 questions défi et indiquer un numéro de téléphone portable permettant l’envoi du mot de passe par SMS.

L’identifiant est également valable en cas de second tour. A cette fin, les courriers d’envoi devra expressément l’indiquer à l’électeur et attirer son attention sur la nécessité de conserver son identifiant jusqu’à la proclamation définitive des résultats de son périmètre.

Pour l’envoi de ces courriers et afin d’assurer l’effectivité du vote par tout électeur, l’ensemble des courriers seront envoyés en lettre prioritaire.

Pour l’impression de ces courriers, le Titulaire doit mettre en place un processus sécurisé, qui doit pouvoir être audité sur place sur demande du commanditaire des délégués de liste

Le Titulaire doit garantir la fiabilité de l’ensemble du processus de recours aux 2 systèmes indiqués ci-dessous en cas de perte ou d’oubli des codes.

Génération de nouveaux accès pour les électeurs avec adresse mail professionnelle :

Pour les électeurs salariés d’EDF petite Hydro n’ayant pas reçu ou ayant égaré leur code d’accès au site de vote ou mot de passe, le prestataire mettra en place une procédure de réassort des accès depuis le site de vote sur lequel les électeurs accèdent directement. Ils devront saisir leur nom, prénom, date de naissance et les 7 derniers caractères de l’IBAN. Cette dernière donnée est transmise par l’employeur au prestataire lors de la constitution des listes électorales. L’électeur indique via le site internet dédié, un n° de téléphone portable « déclaratif » afin qu’il reçoive de façon automatique le réassort de son identifiant ou de son mot de passe.

Génération de nouveaux accès pour les électeurs sans adresse mail professionnelle (temporairement ou non)

Les électeurs, ne disposant pas d’adresse mail professionnelle leur permettant de passer par le site dédié, peuvent faire appel à une assistance de second niveau, géré par le prestataire. Cette assistance met en œuvre les moyens de reconnaissance de l’électeur (présentation d’une pièce d’identité), avant de leur envoyer par SMS ou par mail déclaratif le mot de passe.

Un même numéro de téléphone ou une adresse de messagerie ne pourront être utilisés qu’une seule fois pour le renvoi d’identifiants. Dans le cas de l’envoi des identifiants par SMS sur un téléphone portable, le renvoi des identifiants sur messagerie professionnelle n’est plus possible, et réciproquement.

Quel que soit le système de renvoi utilisé, le nouveau mot de passe généré annule le précédent.

Lorsque de nouveaux identifiants ont été communiqués une fois via l’un des deux systèmes indiqués ci-dessus, aucune nouvelle communication n’est possible. Cette information est portée à la connaissance de l’électeur s’il se connecte sur la page de renvoi des identifiants du site internet dédié et sécurisé.

L’assistance téléphonique, mise en place par le Titulaire pour le renvoi des codes (cf exigence ci-dessus) doit également permettre aux électeurs rencontrant des difficultés pour voter d’obtenir une aide technique pour résoudre les problèmes rencontrés sur le site de vote. Elle est accessible 24H/24 pendant toute la durée du scrutin.

Un support de 2^ème niveau sera disponible si l’électeur n’a pas accès à sa boite mail professionnelle pour le renvoi des accès. Il devra dans ce cadre compléter un formulaire de contact sur le site de vote en ligne. L’électeur sera recontacté entre 9h et 18h pendant la période de vote. Il devra présenter une pièce d’identité au moment de l’appel Visio pour valider son identité. Il lui sera ensuite renvoyé son mot de passe sur le canal de son choix (mail ou sms)

Cette assistance téléphonique doit être reconduite en cas de second tour.

Pendant toute la durée de l'opération, le Titulaire veille au bon déroulement des opérations de vote, il assure l'assistance également, par exemple, pour :

• les problèmes liés à l'utilisation de l’interface d'administration,

• l'information sur tout incident touchant au vote ou au fonctionnement du système,

• les problèmes liés à l'utilisation des codes des administrateurs et assesseurs,

• l’assistance à l’édition des résultats, des procès-verbaux et de la liste d'émargement.

• Il convient de prendre les mesures nécessaires afin de permettre aux salariés handicapés d’exercer leur droit de vote dans les meilleures conditions.

Pour cela, la solution respecte un référentiel d’accessibilité numérique :

• WCAG 2.0 à minima niveau A

• RGAA 3.0 à minima niveau A

• Accessiweb HTML 5 / ARIA à minima niveau bronze.

Fournir l’auto déclaration des critères respectés et de ceux non-atteints du référentiel retenu.

L’ouverture du système de vote par Internet se fait au jour et à l’heure prévus par le Protocole, les électeurs doivent avoir la possibilité de voter 24h/24, 7j/7 sans aucune interruption jusqu’au 26 octobre 2021 à l’heure prévue par le Protocole.

Le Titulaire doit garantir la même qualité de service durant toute la durée du scrutin : il s’engage ainsi à garantir l’accessibilité du site de vote en toute circonstance et, en particulier au moment des pics d’affluence.

L’authentification de l’électeur est assurée sur un serveur dédié à l’Entreprise après saisie par l’utilisateur du code d’identification et du mot de passe. Toute personne non reconnue n’a pas accès aux pages du serveur de vote.

Le Service doit respecter les règles de sécurité et les recommandations de l’ENTREPRISE encadrant la gestion des identifiants et des authentifications des utilisateurs du Service, notamment les suivantes :

• l’accès au Service nécessite une identification et une authentification préalables (hors accès à des informations à accessibilité libre)

• les identifiants ou comptes utilisateurs génériques sont proscrits ;

• le Service doit permettre de gérer des mots de passe robustes (complexité, initialisation, délai d’expiration, …) conformes à la PSSI de l’ENTREPRISE

• toute tentative d’authentification en échec doit être journalisée.

La saisie de son code d’identification et de son mot de passe par l’électeur vaut signature de la liste d’émargement dès réception du vote.

A l’aide de ce code spécifiquement généré pour ce scrutin, l’électeur peut voter en toute confidentialité en se connectant sur le site sécurisé de l’élection créé par le Titulaire pour cette élection professionnelle d’EDF SA.

Le Service doit permettre :

• le vote blanc,

• à l’électeur de voir l’ensemble des listes de candidats en présence sur un seul écran sans avoir à utiliser un ascenseur vertical,

• à l’électeur de rayer un ou plusieurs noms dans une liste,

• à l’électeur de revenir sur son choix avant validation,

• la confirmation obligatoire du choix pour l’enregistrement du bulletin dans l’urne électronique,

• la possibilité pour l’électeur de conserver une trace de son vote (impression d’un accusé de réception avec date et heure d’enregistrement du bulletin, à l'exclusion de toute information sur la nature de son vote).

Le logiciel de vote doit interdire :

• de sélectionner plus d’une liste,

• de voter plusieurs fois,

• tout lien entre le nom de l’électeur et son vote.

Logo de l’ENTREPRISE

Le Service doit faire apparaître le logo de l’ENTREPRISE sur la page d’accueil du Service.

Service facile à utiliser

Compte tenu du niveau informatique disparate des électeurs, une ergonomie particulièrement simple du site Internet est mise en place. Les électeurs doivent pouvoir utiliser le Service sans formation préalable.

Saturation du site

En cas de connexions simultanées empêchant la connexion au SERVICE, un message d’attente sera affiché à l’écran, invitant l’électeur à patienter ou se connecter ultérieurement.

Sur l’écran d’accueil, il est clairement fait mention :

• de la date de la clôture de vote

• du lien avec le site dédié pour une nouvelle (ou deuxième) communication des codes en cas de perte ou d’oubli

• et des coordonnées et heures d'ouverture de l'assistance téléphonique à disposition de l’utilisateur.

Une fois connecté, l’électeur se voit présenter les seuls bulletins de vote correspondant à son collège pour l’élection des membres du CSE, pour les titulaires et pour les suppléants. L’ergonomie du site devra être configurée pour que le salarié passe bien par les 2 masques liés au scrutin.

L’électeur doit être capable de constater par lui-même que le choix qu’il a émis est bien conforme au bulletin enregistré dans l’urne au moment de la validation.

La validation du vote par l’électeur engendre automatiquement :

• l’émargement dans le fichier des électeurs,

• l’enregistrement du bulletin de vote dans l’urne électronique,

• l’impossibilité de voter à nouveau,

• la présentation à l'électeur et l’envoi d’un mail à l'électeur d'un accusé de réception électronique mentionnant la date et l’heure de validation des votes (Titulaires/suppléants).

Le bureau de vote est constitué d’un président et de deux assesseurs figurant obligatoirement sur la liste électorale d’EDF Petite Hydro.

Les bureaux de vote sont institués selon les principes suivants :

• Il doit être mis en place un bureau de vote commun aux titulaires et suppléants pour chacun des collèges. Ce bureau proclame la fermeture du scrutin, lance la procédure de dépouillement électronique, et procède à la proclamation des résultats et à l’établissement du procès-verbal des élections CSE.

Les membres des bureaux de vote et les délégués de liste peuvent consulter sur un site sécurisé, grâce à une clé d’accès personnelle fournie par le prestataire, sur le périmètre d’EDF Petite Hydro :

• la liste d’émargement (consultables en ligne avec une possibilité de les télécharger en format Excel)

• le taux de participation mis à jour.

• les statistiques des flux de vote (heure/heure)

Les représentants de l’employeur peuvent consulter sur un site sécurisé, grâce à une clé d’accès personnelle fournie par le prestataire, sur le périmètre d’EDF Petite Hydro : le taux de participation mis à jour.

Le Titulaire met à la disposition du commanditaire une interface de contrôle du système. L’autorisation d’accès est limitée aux utilisateurs habilités.

L’accès à l’interface de contrôle est sécurisé selon le Protocole HTTPS et répond aux mêmes exigences techniques que le logiciel de vote.

Après l’ouverture de la période de vote, ce système de contrôle doit permettre d’avoir accès, exclusivement en lecture seule et sans modification possible, aux nombres de bulletins dans les urnes électroniques.

Lancement du dépouillement

Le 26 octobre 2021, à l’heure de clôture du scrutin, le site de vote n’est plus accessible aux électeurs. Les opérations de dépouillement sont effectuées dans les bureaux de vote sous l’autorité du président du bureau, avec la présence obligatoire des assesseurs.

Il est demandé de commencer par le dépouillement de l’élection des membres titulaires et de pouvoir procéder à une « lecture » des résultats au fur et à mesure du dépouillement afin de pouvoir déterminer en priorité la représentativité.

Même si le quorum n’est pas atteint au 1er tour, le Titulaire lance le processus de lecture et de dénombrement des votes afin que les membres du bureau de vote puissent procéder au dépouillement.

Compte tenu du dispositif retenu, le mode électronique permet d’obtenir les résultats de manière quasi-instantanée. Le président et les assesseurs introduisent respectivement leurs codes sécurisés délivrés par le système selon une procédure assimilable aux urnes à double cadenas. Le dépouillement s’effectue dans un premier temps, pour les membres titulaires, et dans un second temps, pour les membres suppléants. Les attributions des sièges et la désignation des élus sont conformes aux dispositions du Code du travail et du Protocole. Les résultats font apparaître le nombre de voix obtenues par candidat, le nombre de voix obtenues pour chaque liste ainsi que le nombre de sièges par liste.

Publication des résultats selon les modèles CERFA

Ainsi, chaque bureau de vote constitué pour l’établissement EDF Petite Hydro procède au décompte des voix et au report de ces résultats sur un formulaire électronique reprenant strictement les mêmes éléments que les modèles CERFA en vigueur. Le président du bureau de vote doit compléter le procès-verbal en portant la mention « élu » au regard de chacun des candidats élus et il signe ensuite le procès-verbal ainsi que tous les autres membres du bureau de vote.

En cas d’égalité des voix

En cas d’égalité des voix, le siège revient au candidat le plus âgé. Si cette éventualité se produit, il convient de traiter ce cas localement, de manière manuelle.

Attribution des sièges

A partir des résultats du bureau de vote, il convient de vérifier si la condition légale de quorum requise lors du 1^er tour est atteinte :

• Si le quorum n’est pas atteint, un second tour doit être organisé, selon le même dispositif de vote électronique. Néanmoins, les résultats du 1er tour par liste et par candidat doivent être comptabilisés pour l’ensemble de l’établissement considéré et transcrits au procès-verbal par le bureau de vote.

• si le quorum est atteint, l’ensemble des résultats est comptabilisé et transcrit au procès-verbal par le bureau de vote pour l’ensemble de l’établissement EDF Petite Hydro

  Les résultats concernant les élections CSE titulaires font l’objet d’une remontée pour permettre le calcul de la représentativité.

Que le quorum soit atteint ou non, le procès-verbal est signé par chaque membre du bureau de vote.

Edition des listes d’émargement

Le Titulaire doit prévoir l’édition, par la solution de vote, de toutes les listes d’émargement pour signature par les membres des bureaux de vote.

Le Titulaire est chargé de l’agrégation des résultats sous la forme de tableaux Excel :

• Le soir même du dépouillement :

• au niveau CSE EDF Petite Hydro (nombre de suffrages exprimés et pourcentage pour chaque organisation syndicale et par collège),

  Il communique également le taux de participation par collège.

• Dans un délai de 7 jours après le second tour, au niveau défini conformément au Protocole relatif à ces élections, pouvant aller jusqu’au DUM et par collège, sur la base des résultats du 1^er tour des élections CSE titulaires. En tout état de cause et afin que la confidentialité du vote soit conservée, aucun résultat n’est fourni si le nombre d’électeurs inscrits est inférieur à 25, sauf si cette information est nécessaire pour déterminer la représentativité des différentes institutions (CSE et Commissions secondaires du personnel).

Par ailleurs, le Titulaire est chargé de fournir sous la forme de tableaux Excel, pour l’établissement CSE d’EDF Petite Hydro, par collège et par organisation syndicale ayant présenté une liste de candidats :

• les noms/prénoms/sexe des élus titulaires,

• les noms/prénoms/sexe des élus suppléants.

  Le TITULAIRE édite une présentation des résultats sous format PowerPoint et propose une analyse (notamment contexte, participation, résultat global et par collège).

Le Titulaire conserve sous scellés, jusqu’à l’expiration du délai de recours et, lorsqu’une action contentieuse a été engagée, jusqu’à la décision juridictionnelle devenue définitive, les fichiers supports comprenant la copie des programmes sources et des programmes exécutables, les matériels de vote, les fichiers d’émargement, de résultats et de sauvegarde.

Le Titulaire garantit la restauration possible des fichiers supports le cas échéant.

Le Service implémente les données de référence suivantes pour le contrôle des listes de candidats et pour la consolidation des votes:

Le Service implémente les données de référence suivantes pour les restitutions de vote :

Le Service implémente les données électeurs  non exhaustives suivantes:

Le Service implémente les données candidats  non exhaustives suivantes :

Le Service implémente les données des membres du bureau de vote  non exhaustives suivantes :

Le Service implémente les données des délégués de liste non exhaustives suivantes :

Le Service implémente les données des représentants employeurs non exhaustives suivantes :

Le Service doit assurer l’intégrité des données et des traitements.

Le Service doit alerter de manière automatique en cas de tentative de modification frauduleuse de l’intégrité des données ou de détection d’une perte d'intégrité avérée.

Le Service s’engage à assurer la protection contre toutes les attaques et codes malveillants pouvant perturber le bon fonctionnement des applications ou la régularité des scrutins.

Aucune perte de données n’est acceptée. (PDMA)

La sécurité des données est assurée par un procédé approprié de scellement des données, des programmes et des systèmes. Cette robustesse garantit la non-altération et le contrôle strict de l’accès aux serveurs durant le vote. Le scellement du contenu de vote se fait automatiquement à la date de clôture du scrutin.

L’accès aux résultats du vote ne doit être possible que le jour du dépouillement.

Le Titulaire doit s’engager à assurer en permanence l’anonymat, l’intégrité, le secret, la sincérité et l’unicité du vote, ainsi que la liberté de choix des électeurs.

De façon générale, le Titulaire doit s’engager à assurer et garantir la sincérité du scrutin et à en permettre le contrôle effectif par le Juge de l’élection.

Afin de répondre aux exigences posées par les articles L.2314-21 à 23 et L.2324-19 à 21 du code du travail, le flux du vote et celui de l’identification de l’électeur sont séparés. La solution de vote doit utiliser le chiffrement de la communication et celui des bulletins de vote indépendamment.

Le bulletin de vote est crypté et stocké dans une urne électronique dédiée sans lien aucun avec le fichier d’identification des électeurs. Ce circuit garantit ainsi le secret du vote et la sincérité des opérations électorales.

Le bulletin doit faire l’objet d’un chiffrement ininterrompu depuis le poste de l’électeur jusqu’au dépouillement.

Les protocoles, algorithmes et tailles de clé utilisés doivent être spécifiés par le Titulaire.

Le Service doit assurer la confidentialité des données et des traitements.

Le Service doit alerter de manière automatique l’ENTREPRISE en cas de tentative d’accès frauduleux aux données ou de détection d’un accès frauduleux avéré.

Le Service doit détruire les données à l’issue de la période de recours après accord de l’Entreprise.

Le Service doit assurer la traçabilité des activités liées aux données et aux traitements et sécuriser la confidentialité et l’intégrité des journaux de traces.

Le Service doit décrire quelles sont les procédures et dispositions adoptées pour garantir la traçabilité et l’intégrité des programmes.

Tous les accès et tentatives d’accès au système doivent être tracés et remontés au commanditaire et aux délégués nationaux représentant les listes de candidats en temps réel et font l’objet d’un rapport final à la clôture du scrutin et adressé au commanditaire dans un délai de 24h.

Toutes les modifications et gestes dans le logiciel de vote réalisés par l’Entreprise, par le Titulaire ou l’administrateur doivent être également tracées et ceux dès les premiers accès à l’outil (modifications des listes, …).

L’historique de ces modifications doit être exploitable par des personnes de l’Entreprise non informaticiennes.

[DICT : Niveau 2]

Le Service dispose d’une IHM de gestion des comptes utilisateurs permettant de réaliser les activités suivantes :

• Créer, modifier, activer, désactiver, supprimer un compte utilisateur ou groupes d’utilisateurs

• Associer un utilisateur ou plusieurs à un ou plusieurs groupes d’utilisateurs

• Définir la période de validité des comptes utilisateurs et des groupes d’utilisateurs

Le Service doit permettre de gérer les droits d’accès des utilisateurs aux données et aux traitements via des profils utilisateurs différenciés sur un périmètre d’activité donné pour une durée donnée.

La gestion des droits d’accès et des habilitations ne doit être possible qu’avec un profil spécifique dédié à la sécurité.

Via ce profil dédié à la sécurité, le Service doit permettre de générer :

• un état des droits attribués à chaque utilisateur ou groupe d’utilisateur.

• un état des utilisateurs ou groupes d’utilisateurs ayant accès à une ressource SI.

Le Service doit permettre de gérer la volumétrie d’utilisateurs ci-dessous :

La performance attendue concernant l’affichage de l’IHM du Service est la suivante :

Contrôle de l’atteinte des résultats :

Tests de performance

Niveau à atteindre :

cf. tableau ci-dessus

Le Service doit fonctionner en interne de l’ENTREPRISE a minima depuis les types de postes utilisateurs suivants :

Le Service doit fonctionner en externe de l’ENTREPRISE a minima depuis les types de postes utilisateurs suivants :

Contrôle de l’atteinte des résultats :

Tests et recette

Niveau à atteindre :

Réception validée

Le Service doit respecter les règles d’intégration des applications sur les postes de travail de l’ENTREPRISE.

Il doit notamment prendre en compte les contraintes sur les plug-in et les composants tiers des navigateurs web utilisés dans l’ENTREPRISE, telles que définies dans la note DSI-2013-015 “Decision-DSI-2013-015_NavigateursDefDiff” jointe en annexe.

Le service devra être développé en suivant les standards du marché (W3C, ECMAScript, …).

Notamment, le Service ne doit pas nécessiter d’utiliser les composants suivants :

• les plug-ins Adobe (Flash, Acrobat)

• les ActiveX

• les Applet Java (JRE)

• Office

• Navigateur

• …

  Le Service ne doit avoir aucune adhérence avec des versions d’applications bureautiques. Cette exigence est une exigence éliminatoire.

Le Service doit fonctionner a minima sur les configurations d’écrans suivantes :

Le Service est constitué de l’ensemble des composants permettant de gérer un processus complet d’élection.

Client léger sécurisé sans téléchargement

Le Service doit obligatoirement comporter une architecture de type « client léger » sans aucun téléchargement sur le poste de l’électeur.

Le Service doit respecter les dernières préconisations de l’IETF en termes de chiffrement TLS. Les échanges sont chiffrés par usage du Protocole TLS 1.2 ou 1.3.

Il doit intégrer tous les mécanismes de sécurité physique et logique adéquats pour assurer :

• la fiabilité de l’ensemble,

• une protection des accès physiques,

• un contrôle d'accès logique,

• une gestion des droits,

• l’intégrité des données,

• la protection contre toutes les attaques et codes malveillants pouvant perturber le bon fonctionnement des applications ou la régularité du scrutin.

Accès quel que soit l’environnement de travail

Le logiciel de vote électronique est une solution SaaS (Software as a Service), dont l’accès se fait par le navigateur web du votant. L’ensemble des électeurs dispose d’un environnement de travail très hétérogène et largement décentralisé.

En conséquence, le Titulaire doit proposer une solution technique minimisant la logistique du support et de déploiement de l’accès à l’application de vote et s’affranchir autant que possible de toute contrainte matérielle.

Dans la mesure du possible, les contraintes techniques de mise en œuvre (adresse IP, noms de domaines, ports ouverts, NAT, filtrage, firewall, proxy) sont minimales.

Pour l’ensemble des accès à la plate-forme (par les électeurs, administrateurs, organisateurs), l’utilisation de protocoles autres que https sur le port 443, sur les passerelles d'accès Internet (proxy) pour les utilisateurs, que ces protocoles soient encapsulés ou non, est interdite et non supportée aujourd’hui.

Le Titulaire doit détailler de façon précise les protocoles entre le poste utilisateur et ses serveurs.

Les numéros de ports des Protocoles réseaux utilisés sont normalisés. L’ensemble des pré-requis techniques est clairement indiqué dans la réponse.

Le site doit être autoportant, sans injection de contenu dans un site tiers.

Toutes les communications réseau entre l’ENTREPRISE et le TITULAIRE basées sur le protocole IP seront faites de manière native en IPv4. Néanmoins si le titulaire supporte sur ses infrastructures le protocole IPv6, il sera expressément demandé de rendre le service compatible IPv4 et IPv6 par le biais du double adressage (aussi connu par « double pile » ou  « dual stack ») afin de permettre aux utilisateurs ayant IPv6 depuis leur domicile d’accéder au service au travers de ce moyen de communication.

Si le TITULAIRE vient à activer IPv6 sur ses infrastructures et plus particulièrement sur le service avant la recette initiale, le titulaire devra en informer l’ENTREPRISE afin que des tests de compatibilité soient réalisés lors de la réception de la solution et  vérifier ainsi, qu’il n’y ait pas de régressions.

Si le TITULAIRE vient à activer IPv6 sur ses infrastructures et plus particulièrement sur le service après la recette initiale, le titulaire devra en informer l’ENTREPRISE afin qu’une recette soit réalisée et vérifier qu’il n’y ait pas de régressions.

En réponse aux besoins du présent CCTP, le TITULAIRE fournit une solution sous forme de Service, des droits d’utilisation de ce Service et la documentation du Service.

Le TITULAIRE configure et paramètre le Service pour répondre aux besoins de l’ENTREPRISE.

Le TITULAIRE fournit un document récapitulant la liste des fonctionnalités livrées, les éventuels écarts par rapport à la demande initiale, les informations techniques nécessaires à l’interconnexion du Service avec le reste du SI, ainsi que toute autre information qu’il juge nécessaire pour la mise en place et le bon fonctionnement du Service.

Le TITULAIRE corrige les anomalies détectées lors des tests de l’ENTREPRISE.

Le TITULAIRE doit traiter et corriger les anomalies survenant sur le Service selon le processus de gestion des anomalies.

Il doit notamment appliquer systématiquement les correctifs relatifs à la sécurité du Service.

Le TITULAIRE garantit la non-régression fonctionnelle et technique du Service consécutivement à l’application des correctifs.

Le TITULAIRE met en œuvre, héberge et maintient une infrastructure technique qui permette d’implémenter et d’exploiter le Service conformément aux exigences de qualité, de performance, de disponibilité et de sécurité de l’ENTREPRISE définies dans le présent CCTP.

Le TITULAIRE met en œuvre et maintient un accès Internet qui permette :

• aux utilisateurs internautes d’accéder à l’environnement de production du Service ;

• aux utilisateurs de l’ENTREPRISE d’accéder à l’ensemble des environnements définis dans le présent CCTP.

Le TITULAIRE doit héberger et exploiter le Service conformément aux exigences du chapitre « 7. Exigences de production du Service ».

Le Titulaire indique le (ou les) site(s) de production du matériel de vote et la localisation des serveurs du système de vote électronique sur le territoire national, ceux-ci doivent être accessibles pour une visite sur simple demande du commanditaire ou des délégués nationaux représentant les listes de candidats.

Le Titulaire doit avoir la totale maîtrise de sa plate-forme et les serveurs doivent bénéficier d’un service d’hébergement de qualité professionnelle.

Le Titulaire doit décrire, sous forme de schémas commentés, l’architecture (logicielle, matérielle et réseau) qu’il compte mettre en œuvre, ainsi que les flux associés. En particulier, il précise les positions des serveurs web et des serveurs de données dans l’architecture et les différents dispositifs techniques de sécurité. Il donne aussi une cartographie des différents flux générés (exploitation, administration, maintenance, …)

Le TITULAIRE garantit la disponibilité du Service conformément aux exigences de disponibilité formulées dans le présent CCTP.

Le TITULAIRE doit mesurer la disponibilité du Service par un test réalisé toutes les 5 minutes. Le Service est considéré comme indisponible suite à 2 connexions infructueuses consécutives.

La disponibilité du Service de note doit être maximale. Elle est assurée tant au niveau matériel qu’au niveau accessibilité réseau.

Le Titulaire s’engage sur une disponibilité de 99,9% pendant la période de vote. (DIMA)

Le TITULAIRE doit mettre en œuvre les dispositions nécessaires pour relancer le Service en cas d’indisponibilité.

Tout incident entravant la disponibilité de la plateforme doit être tracé et remonté au commanditaire et aux délégués nationaux représentant les listes de candidats, en temps réel et à la clôture du scrutin.

En cas de sinistre ou d’incident majeur survenant sur le site nominal d’hébergement du Service, le TITULAIRE garantit la reprise du Service sur un site de secours distant.

Le TITULAIRE doit répondre aux mêmes exigences de disponibilité, de performance, de sécurité et de qualité du Service sur le site de secours que sur le site nominal d’hébergement du Service.

Le TITULAIRE met en place une organisation, des procédures et des moyens permettant d’assurer cette continuité d’activité et également d’effectuer le retour au fonctionnement nominal.

Les mécanismes mis en œuvre pour assurer la communication entre les 2 sites sont décrits, notamment en cas de défaillance du site principal.

Tous les incidents liés au logiciel de vote sont remontés au commanditaire et aux délégués nationaux représentant les listes de candidats.

Le TITULAIRE réalise les activités de gestion des environnements suivantes :

• mise en place, exploitation et maintenance du Service ;

• installation et configuration du Service (versions, mises à jour et correctifs) ;

• suivi des versions du Service et des correctifs installés ;

sur les environnements suivants :

Le TITULAIRE fournit un reporting sur les dates, heures d’installation des versions et correctifs du Service par environnement.

Le TITULAIRE met en œuvre une gestion des incidents (au sens ITIL du terme) pour tracer, qualifier, analyser et corriger les dysfonctionnements qui entraînent une indisponibilité totale ou partielle du Service ou qui entraînent une baisse de performance rendant le Service inutilisable.

Les incidents peuvent être détectés :

• soit par le TITULAIRE : dans ce cas il en informe l’ENTREPRISE ;

• soit par l’ENTREPRISE : dans ce cas elle en informe le TITULAIRE via le support utilisateur.

Le TITULAIRE qualifie l’incident et son niveau de criticité et propose d’éventuelles solutions palliatives ou de contournement qui permettraient de minimiser l’impact de l’incident.

Les niveaux de criticité sont les suivants :

Incident bloquant : dysfonctionnement entraînant l’indisponibilité ou une baisse de performance d’au moins une fonctionnalité essentielle du Service, pour l’ensemble des utilisateurs du Service. Il n’existe aucune solution palliative ou contournement acceptés par l’ENTREPRISE.

Incident majeur : dysfonctionnement entraînant l’indisponibilité ou une baisse de performance d’au moins une fonctionnalité non essentielle du Service, pour l’ensemble des utilisateurs du Service. Il n’existe aucune solution palliative ou contournement acceptés par l’ENTREPRISE.

Incident mineur : tout autre incident.

Les incidents de sécurité suivent cette catégorisation.

A la demande de l’ENTREPRISE, la criticité d’un incident peut être revue à la hausse dans le cas où il existe un ensemble d’incidents analogues ou lorsque plus de 50% des utilisateurs sont touchés.

En cas d’incident survenant sur l’environnement de production, le TITULAIRE s’engage à rétablir la disponibilité et la performance du Service dans les délais ci-dessous :

(*) le délai est calculé à partir de la déclaration de l’incident

Le TITULAIRE fournit un reporting sur les incidents, comportant notamment les dates, heures, criticités, durées et analyses des indisponibilités.

Le TITULAIRE met en œuvre une gestion des anomalies pour tracer, qualifier, analyser et corriger les non-conformités par rapport à une exigence spécifiée dans le présent CCTP ou à un fonctionnement attendu du Service.

Les anomalies peuvent être détectées :

• soit par le TITULAIRE : dans ce cas il en informe immédiatement l’ENTREPRISE ;

• soit par l’ENTREPRISE : dans ce cas elle en informe le TITULAIRE via le support utilisateur.

Le TITULAIRE qualifie l’anomalie et son niveau de criticité et propose d’éventuelles solutions palliatives ou de contournement qui permettraient de minimiser l’impact de l’anomalie.

Les niveaux de criticité sont les suivants :

Anomalie bloquante : anomalie qui empêche l’utilisation de tout ou partie de fonctionnalités essentielles du Service, par l’ensemble des utilisateurs du Service ou par les utilisateurs d’un processus métier critique et qui n’a pas de solution de contournement.

Anomalie majeure : anomalie qui empêche l’utilisation de tout ou partie de fonctionnalités non essentielles du Service par une population d’utilisateurs et qui n’a pas de solution de contournement.

Anomalie mineure : toute autre anomalie, dont défaut ou imperfection, qui n’empêche pas l’usage normal du Service.

A la demande de l’ENTREPRISE, la criticité d’une anomalie peut être revue à la hausse dans le cas où il existe un ensemble d’anomalies analogues ou lorsque plus de 50% des utilisateurs sont touchés.

La validation de la qualification revient à l’ENTREPRISE et en cas de litige, c’est l’ENTREPRISE et elle seule qui décide du niveau de criticité.

En cas d’anomalie survenant sur l’environnement de production, le TITULAIRE s’engage à la corriger dans les délais ci-dessous :

(*) le délai est calculé à partir de la déclaration de l’anomalie

Le TITULAIRE fournit un reporting sur les anomalies, comportant notamment les références et criticités des anomalies, dates de déclaration, et version de dates de correction des anomalies.

Le TITULAIRE s’engage à respecter les exigences applicables de l’annexe sécurité tels que renseignées ci-dessous.

Introduction et organisation de la sécurité de l’information

Organisation de la sécurité de l’information

Gestion des biens

Sécurité liée aux ressources humaines

Sécurité physique et environnementale

Gestion de l’exploitation et des télécommunications

Contrôles des accès logiques

Acquisition, développement et maintenance des SI

Gestion des incidents liés à la sécurité de l’information

Gestion du PCA

Conformité

Le TITULAIRE nomme un binôme pour gérer la Prestation, ayant pour fonction d’organiser opérationnellement le déroulement de la prestation, dont les responsabilités principales sont les suivantes :

• gérer la relation opérationnelle avec l'ENTREPRISE ;

• s’assurer de l’avancement de la prestation, des délais et des coûts ;

• s'assurer du respect des engagements et de l'atteinte des niveaux de service définis ;

• s’assurer de l'amélioration continue de la prestation réalisée pour l'ENTREPRISE ;

• gérer la résolution rapide et efficace des dysfonctionnements pouvant survenir sur la prestation ;

• consolider les informations nécessaires au reporting et les diffuser à l'ENTREPRISE

  Il doit communiquer en priorité avec des interlocuteurs privilégiés de l'ENTREPRISE en fonction des problématiques (DDS, CSP RH, CSP IT). La DDS doit être informée de tous les échanges avec l’ENTREPRISE.

Le TITULAIRE met en place des processus, une organisation et des ressources pour assurer la qualité et la sécurité du Service et de ses prestations. Il établit un Plan d’Assurance Qualité & Sécurité (PAQS) contenant à minima :

• l’ensemble des processus et des activités de la prestation :

• l’organisation, le rôle et les responsabilités des acteurs du TITULAIRE ;

• Les modalités de communication entre l’ENTREPRISE et le TITULAIRE ;

• Les règles d’interaction entre l’ENTREPRISE et le TITULAIRE (réunions, mode de suivi (indicateurs) et reporting au pilote de prestation, suivi de planning, d'actions et d’avancement, suivi budgétaire, prise et suivi de décisions, suivi des risques, traitement des incidents) ;

• La périodicité des réunions prévues ;

• Le processus de gestion de crise ;

• La gestion de la documentation (organisation de la documentation, identification et classification des documents, …) ;

• Les processus de gestion des incidents, de gestion des problèmes, et de gestion des anomalies

• La gestion des écarts par rapport aux périmètres fixés dans le CCTP;

• le contexte opérationnel :

• L’articulation de la prestation en phases, activités et tâches à réaliser ;

• L’environnement méthodologique (méthodes et outils de conduite de la prestation, de conception, de réalisation, de test) ;

• les modalités et dispositifs de passage des jalons de la prestation ;

• la description du Plan de réversibilité et du Plan de déroulement de la réversibilité.

• Le Plan d’Assurance Sécurité (PAS) tel que défini dans l’annexe sécurité jointe.

Le TITULAIRE s’engage à effectuer toutes les mises à jour nécessaires au cours de la prestation, le cas échéant, afin que le PAQS soit le reflet de la prestation réalisée. Toute modification du PAQS est soumise au Comité de Suivi.

L’ENTREPRISE dispose de 2 semaines pour valider le PAQS puis le TITULAIRE dispose d’une semaine pour prendre en compte les remarques de l’ENTREPRISE.

Une situation de crise peut être déclenchée par le TITULAIRE ou par l’ENTREPRISE en cas de problème de fonctionnement du Service, notamment dans les cas suivants :

• l’engagement de disponibilité du Service n’est pas tenu ;

• des dysfonctionnements graves ou récurrents impactent le bon fonctionnement du Service ;

• un comportement anormal du Service met en danger le SI de l’ENTREPRISE ou la sécurité des données ;

… et que ces problèmes ne peuvent plus être gérés par les acteurs et les procédures habituels.

Des crises peuvent également être déclenchées via une procédure d’escalade en cas de différend persistant entre le TITULAIRE et l’ENTREPRISE, notamment lorsqu’une situation pourrait mettre en péril le planning ou la qualité des prestations, par exemples dans les cas suivants :

• Non-respect récurrent des délais de livraison des livrables ;

• Absence de réponse aux demandes de support ;

• Désaccord sur des décisions à prendre ;

• Dysfonctionnement lié à une mauvaise qualité de service ;

• Dysfonctionnement au niveau de la communication interne ou externe.

Le TITULAIRE doit s’impliquer dans le suivi des crises même si leur origine n’est pas de sa responsabilité et il agit en coordination avec l’ensemble des acteurs concernés de l’ENTREPRISE pour sortir au plus vite des crises.

Dès le démarrage de la crise, l’ENTREPRISE et le TITULAIRE organisent une réunion pour établir un diagnostic de la situation, évaluer les risques et mettre en place des moyens et une organisation permettant de gérer la crise. L’ENTREPRISE et le TITULAIRE conviennent d’un plan d’actions pour résoudre les problèmes et revenir au plus vite vers une situation normale. Une fois la crise terminée, l’ENTREPRISE et le TITULAIRE font un retour d’expérience.

Taux de disponibilité

PDMA

Complétude de la documentation

Vérification d’Aptitude de Bon Fonctionnement (VABF) : nombre d’anomalies résiduelles

Qualité des correctifs : taux de correctifs recettés KO

Nombre d’anomalies détectées par version du Service