Définitions

38.1. Maintenance et tierce maintenance applicative
Par « maintenance », on désigne les prestations permettant le maintien en condition opérationnelle et le maintien en condition de sécurité des matériels à titre préventif, ou correctif.
Par « tierce maintenance applicative », on désigne les prestations qui consistent à conserver un système d'information dans un état lui permettant de remplir sa fonction. Ces prestations de maintien en condition opérationnelle et de maintien en condition de sécurité s'exécutent à titre préventif ou correctif. Elles peuvent également concerner des prestations d'évolution ou d'adaptation des logiciels.
Ces services peuvent être rendus sur le site de l'acheteur ou à distance dans les locaux du titulaire.
Des prestations de maintenance de matériel peuvent être incluses dans un marché de tierce maintenance applicative.
Par « préventif », on entend les mesures d'entretien exécutées pour éviter la survenance d'anomalies.
Par « correctif », on entend les mesures consistant à corriger les anomalies.
Par « évolutif », on entend les mesures de maintenance visant à faire évoluer une ou plusieurs applications, afin d'intégrer de nouvelles fonctions, d'en améliorer le fonctionnement et l'ergonomie ou de prendre en compte de nouvelles dispositions législatives ou règlementaires.
Par « adaptatif », on entend les mesures d'entretien et de maintenance permettant d'absorber des modifications de l'environnement technique d'exécution, comme les mises à jour ou les changements de systèmes d'exploitation, de bases de données, d'interfaces d'échange ou plus généralement des composants techniques et bibliothèques logicielles.
38.2. Infogérance
38.2.1. « L'infogérance » désigne l'externalisation des prestations de gestion ou d'exploitation de tout ou partie du système informatique de l'acheteur.
L'infogérance peut porter sur des prestations de tierce maintenance applicative ou d'hébergement des infrastructures.
Par « infogérance à distance », on entend l'ensemble des prestations effectuées sur le site du titulaire.
Par « infogérance sur site », on entend l'ensemble des prestations effectuées par le titulaire sur le site de l'acheteur.
Les documents particuliers du marché définissent :

- les niveaux de services, c'est-à-dire les niveaux convenus pour les indicateurs de qualité afférents aux prestations, que le titulaire s'engage à atteindre ;
- les moyens mis en œuvre à cette fin, les conditions d'exécution et les moyens permettant de mesurer le niveau de service atteint ;
- les sanctions applicables en cas de non-respect des niveaux prévus.

38.2.2. Un service d'infogérance peut être global ou partiel.
Le service global d'infogérance concerne la prise en charge complète des fonctions suivantes :

- le développement ou l'exploitation de tout ou partie des applications ;
- l'exploitation de centres de traitement informatique.

Le service partiel d'infogérance peut porter sur l'exploitation informatique ou sur la gestion d'applications

|Commentaires :
On distingue :
1° L'infogérance d'exploitation qui consiste en la prise en charge totale ou partielle, par le titulaire, de la fonction « exploitation informatique » de l'acheteur. Les documents particuliers du marché précisent dans ce cas si le titulaire prend en charge l'hébergement, l'administration ou l'évolution :
- du parc micro-informatique ;
- du parc de serveurs ;
- des logiciels d'exploitation ;
- du réseau.
2° L'infogérance d'applications qui consiste en la prise en charge par le titulaire de l'exploitation et des évolutions (et éventuellement du développement) d'une ou de plusieurs applications de l'acheteur. Elle est également appelée infogérance de systèmes d'informations.| |:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|

38.3. La période de transition :
La période de transition est la période pendant laquelle l'acheteur procède au transfert de la responsabilité technique des fonctions exécutées par lui ou par un tiers prestataire dont le marché arrive à échéance, au titulaire du nouveau marché d'infogérance.
La période de transition a une durée maximale de six mois. Cette période débute à la date de notification du marché. Pendant la période de transition, le titulaire procède à la migration des services en cours d'exécution par ou pour l'acheteur vers des services rendus par lui.
38.4. Réversibilité et transférabilité :
La « réversibilité » désigne les opérations de retour de responsabilité, par lesquelles l'acheteur ou un tiers désigné reprend les prestations qu'il avait confiées au titulaire arrivant à terme.
Les modalités organisationnelles et techniques de la réversibilité figurent dans le plan de réversibilité.
De manière non limitative, la réversibilité comprendra la fourniture des logiciels exécutables, le cas échéant, les codes sources, la documentation associée, les fichiers de paramétrage, scripts d'exploitation, la documentation technique et fonctionnelle, les éventuels supports de formation ainsi que :

- la mise à disposition de fichiers suivant un ou plusieurs formats documentés et exploitables en dehors du service fourni par le prestataire ;
- la mise en place d'interfaces techniques permettant l'accès aux données suivant un schéma documenté et exploitable (API, format pivot, etc.).

La « transférabilité » désigne l'opération de transfert de responsabilité, par lequel l'acheteur fait reprendre par un nouveau titulaire les prestations qu'il avait confiées au titulaire arrivant à terme.
La période de réversibilité ou de transférabilité est la période couvrant le retour ou le transfert de responsabilité précédemment définis.
Le « plan de réversibilité » ou « de transférabilité » est le document annexé au CCAP qui décrit la durée et les conditions de mise en œuvre de la réversibilité ou de la transférabilité.

Maintenance des prestations

39.1. Conditions de la maintenance :
Si les documents particuliers du marché prévoient la maintenance des prestations livrées, celle-ci comprend les interventions demandées par l'acheteur, en cas de fonctionnement défectueux de l'un des éléments faisant l'objet du marché, ainsi que l'entretien préventif.
La maintenance porte également sur les modifications apportées aux prestations livrées sur l'initiative du titulaire. L'acheteur est préalablement informé de ces modifications ; il peut s'y opposer.
L'acheteur ne peut faire effectuer les opérations de maintenance non prévues au marché qu'après accord du titulaire.
39.2. Maintenance dans les locaux du titulaire :
39.2.1. Lorsque la maintenance est effectuée dans les locaux de l'acheteur, les interventions s'effectuent à l'intérieur d'une plage horaire mentionnée dans les documents particuliers du marché et appelée période d'intervention.
Le décompte du délai imparti au titulaire pour répondre à une demande d'intervention ne court que pendant la période d'intervention définie dans les documents particuliers du marché.
39.2.2. L'acheteur assure aux préposés du titulaire chargés de la maintenance, qu'il a agréés, l'accès de ses locaux.
Il peut retirer son agrément, par une décision motivée dont il informe le titulaire. Pendant leur présence dans les locaux de l'acheteur, les préposés du titulaire sont assujettis aux règles d'accès et de sécurité, établies et communiquées au titulaire par l'acheteur.

Maintenance en condition de sécurité

40. 1. Traitement des obsolescences :
       Le titulaire n'utilise que des composants logiciels que l'éditeur s'engage à maintenir pendant la durée du marché. Si la durée du marché dépasse la durée pendant laquelle un éditeur s'engage à maintenir un composant logiciel, le titulaire maintient, livre et respecte une feuille de route de migration vers des systèmes maintenus.
       Le titulaire élabore, tient à jour et met en œuvre une procédure de maintien en condition de sécurité de toutes les ressources dont il a la charge. Cette procédure prévoit :

- les délais d'application des mises à jour de sécurité en fonction du niveau de risque associé ;
- une définition des cas d'urgence précisant explicitement les motifs de déclenchement et les exceptions au cas nominal qui sont induites ;
- la marche à suivre dans le cas où l'application d'une mise à jour de sécurité échoue.

Le titulaire tient à jour l'inventaire de l'ensemble des logiciels et micrologiciels mettant en œuvre le service. Cet inventaire doit identifier pour chaque logiciel, sa version et les équipements sur lesquels le logiciel est installé.
A cette fin, le titulaire élabore, tient à jour et met en œuvre une procédure de maintien en condition de sécurité de toutes les ressources dont il a la charge. Cette procédure prévoit :

- les délais d'application des mises à jour de sécurité en fonction du niveau de risque associé ;
- une définition des cas d'urgence précisant explicitement les motifs de déclenchement et les exceptions au cas nominal qui sont induites ;
- la marche à suivre dans le cas où l'application d'une mise à jour de sécurité échoue.

Le titulaire installe et maintient les dispositifs du service dans des versions stables et à jour de leurs correctifs de sécurité et conformément à la procédure de maintien en condition de sécurité. Les versions installées doivent être des versions supportées sauf si celles-ci empêchent la réalisation du service. Il vérifie l'impact de l'installation des mises à jour sur le système d'information du service. Dans le cas où l'impact de l'installation ne permet pas la réalisation du service, le titulaire en documente les raisons, et définit et met en œuvre des mesures de réduction des risques.
Le titulaire devra s'assurer de l'authenticité et de l'intégrité des mises à jour téléchargées auprès des sources de mise à jour de confiance.
40.2. Correctifs de sécurité :
Une vérification d'aptitude (VA) ou une vérification de service régulier (VSR) peut être refusée si des composants ne sont pas à jour des correctifs de failles de sécurité publiés par l'éditeur depuis un délai supérieur à trois mois. L'acheteur définit les fréquences des livraisons en coordination avec les équipes d'exploitation, en fonction des différentes criticités des vulnérabilités concernées.
Le titulaire s'assure que l'application des correctifs de sécurité ne modifie pas les performances du système, en modifiant si besoin et à ses frais le système pour maintenir le niveau de performance malgré l'application du correctif.

Arrêt de l'exécution des prestations

A la fin de la période de transition, l'arrêt de l'exécution des prestations peut être décidé par l'acheteur, soit de sa propre initiative, soit à la demande du titulaire, à la condition que la prestation couvrant la période de transition soit identifiée dans les documents particuliers du marché et assortie d'un montant.
L'arrêt de l'exécution des prestations entraîne la résiliation du marché.

Réversibilité et transférabilité

Pendant la période de mise en œuvre de la réversibilité ou de la transférabilité, le titulaire arrivant à échéance fournit, selon le cas, à l'acheteur ou au nouveau titulaire, dans la mesure du besoin, un accès aux matériels et aux logiciels, sous réserve que cet accès n'affecte pas l'aptitude du titulaire prenant fin à fournir les services objet du marché.
Le titulaire met en œuvre des mesures techniques et organisationnelles pour garantir la sécurité des données et des applications qui lui sont confiées, lors du transfert des prestations de la part du précédent titulaire en conformité avec les réglementations applicables.