Le cahier des charges des dispositifs de télétransmission Hélios, opérés conformément à l'article D. 1617-23 du code général des collectivités territoriales figurant en annexe n° 1 au présent arrêté est approuvé.

Un organisme public visé à l'article 1er a le choix, pour effectuer la transmission et la réception de données et de documents électroniques, de recourir soit au portail "Gestion publique" de la direction générale des finances publiques ( https://portail.dgfip.finances.gouv.fr), soit à un dispositif de transmission mis en œuvre par un opérateur dénommé tiers de transmission. A compter du 1er janvier 2012, il n'a plus la possibilité de recourir à des disquettes ou autres supports physiques pour cette transmission.

Dans le cas de l'utilisation du portail "Gestion publique" de la DGFiP, l'organisme public respecte les prérequis techniques communiqués par la direction générale des finances publiques.

Il peut assumer directement la fonction de tiers de transmission en mettant en œuvre un dispositif de transmission. Le recours à un dispositif de transmission mis en œuvre par un tiers de transmission est recommandé dans la logique d'interopérabilité des échanges entre administrations.

Le dispositif technique de transmission, choisi par l'organisme public, est homologué dans les conditions fixées par l'article 12 du présent arrêté.

Lorsque le protocole d'échange standard est mis en oeuvre par les organismes publics visés à l'article 1er pour la dématérialisation des mandats de dépenses, des titres de recettes et des bordereaux les récapitulant, il peut aussi être utilisé pour transmettre les pièces justificatives dématérialisées associées suivant l'une des deux modalités suivantes :

a) Les pièces justificatives sont transmises, au sein du même flux électronique, dans les zones dédiées à cette fin (modèle de flux) ;

b) Les informations identifiant les pièces justificatives sont transmises au sein du même flux électronique, les pièces justificatives étant archivées et consultables sur une plate-forme de stockage sécurisée et référencée selon des modalités fixées par arrêté du ministre en charge du budget (modèle de stock).

L'homologation a pour objet de certifier la conformité au cahier des charges annexé au présent arrêté des dispositifs techniques proposés aux ordonnateurs par les tiers de transmission dans le cadre de l'option ouverte par l'article 11 du présent arrêté.

L'homologation du tiers de transmission est subordonnée au respect des obligations générales énumérées à l'article D. 1617-23 du code général des collectivités territoriales et au respect des obligations techniques décrites dans le cahier des charges en annexe n° 1 du présent arrêté.

L'homologation de tout ou partie d'un dispositif de transmission est prononcée par le ministre en charge du budget sur la base d'un rapport d'évaluation établi par un ou plusieurs centres d'évaluation de la sécurité des technologies de l'information agréés et référencés pour les domaines " techniques informatiques et réseaux " par les services du Premier ministre, conformément au décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information.

Le responsable du dispositif de transmission sécurisée, dénommé commanditaire, peut adresser à la direction générale des finances publiques du ministère en charge du budget une demande d'homologation dans laquelle il s'engage à présenter un dispositif conforme aux exigences du cahier des charges. Cette demande doit s'accompagner d'un dossier qui comprend :

-une description du dispositif de transmission à homologuer incluant la documentation sur les modalités de mise en oeuvre de ce dispositif ;

-toutes autres indications pouvant être utiles dans la connaissance de ce dispositif (références éventuelles d'utilisation...).

Il est émis un accusé de réception du dépôt de cette demande dont l'instruction par l'administration est subordonnée à la présentation d'un ou plusieurs rapports d'évaluation établis par un ou plusieurs centres d'évaluation mentionnés au précédent article.

Le commanditaire choisit à cette fin un ou plusieurs centres d'évaluation avec chacun desquels il détermine :

-le dispositif objet de l'homologation ;

-les conditions de protection de la confidentialité des informations traitées dans le cadre de l'homologation ;

-le calendrier et les modalités pratiques de l'homologation ;

-le coût et les modalités de paiement de l'évaluation à la charge du commanditaire.

Le commanditaire doit mettre à la disposition du ou des centres d'évaluation agréés qu'il a choisis ainsi que de l'administration, si elle en fait la demande, tous les éléments nécessaires à la procédure d'homologation, après accord, le cas échéant, des fabricants concernés.

Au terme des travaux d'évaluation, chaque centre d'évaluation de la sécurité des technologies de l'information remet un rapport au commanditaire et à la direction générale des finances publiques du ministère en charge du budget. Ce rapport est un document confidentiel dont les informations sont couvertes par le secret industriel et commercial.

Le commanditaire et l'administration valident les rapports d'évaluation en liaison avec le centre d'évaluation concerné. Sur la base du ou des rapports d'évaluation validés, l'administration établit un rapport tendant à prononcer l'homologation ou à la refuser.

L'administration peut, en complément des travaux d'évaluation du ou des centres d'évaluation, procéder, en lien avec le commanditaire, à des vérifications complémentaires de son dispositif.

Le dispositif de transmission ainsi homologué peut être mis en oeuvre par un ou plusieurs tiers de transmission et utilisé pour le compte de plusieurs collectivités et établissements publics locaux.

Le rapport d'homologation est notifié par l'administration au commanditaire et le certificat d'homologation peut être assorti de recommandations.

L'homologation est délivrée pour une période de cinq ans. Toute prolongation au-delà de cette période nécessite une nouvelle évaluation du dispositif. Si, pendant cette période, des modifications substantielles du dispositif homologué interviennent, le commanditaire opère une nouvelle saisine du centre d'évaluation de la sécurité des technologies de l'information pour que son certificat d'homologation soit complété pour les prendre en compte.

En cas de discordance entre le dispositif homologué et sa mise en oeuvre opérationnelle, l'homologation peut être annulée par arrêté du ministre en charge du budget.

Le ministère en charge du budget ne peut être tenu responsable des dysfonctionnements des dispositifs de transmission et de leurs conséquences pour les organismes publics visés à l'article 1er qui les mettent en oeuvre.

Un dispositif de transmission homologué peut être mis en oeuvre par un opérateur dénommé tiers de transmission. La mise en oeuvre effective du dispositif de transmission, notamment le raccordement à l'application Hélios, est subordonnée à la signature préalable entre le tiers de transmission et la direction générale des finances publiques d'une convention de raccordement.

En cas de recours à un tiers de transmission, le contrat conclu entre ce dernier et l'ordonnateur de l'organisme public visé à l'article 1er atteste l'homologation du dispositif de transmission sécurisée et comprend l'engagement de mettre en oeuvre le cahier des charges dans son intégralité et sans altération, dans les conditions fixées par le chapitre 4 du présent arrêté, ainsi que l'engagement d'assurer sa maintenance et son bon fonctionnement.

Le directeur général des finances publiques est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.