ANNEXE
CAHIER DE CLAUSES DE DÉVELOPPEMENT DE TÉLÉSERVICES WEB

Champs d'application

Ce cahier de clauses n'est applicable qu'aux marchés qui s'y réfèrent.
Ces clauses visent des téléservices, externes et internes, à destination des usagers ou des agents, comprenant des pages d'information ou des saisies de données par formulaire et des transitions notables entre pages. Ces spécifications ne sont pas foncièrement conçues ou adaptées aux applications fortement interactives type webmail ou systèmes d'information géographiques (SIG).
Leur contexte est celui de développements à façon. Pour des composants logiciels sur étagère, le respect des présents articles peut faire partie du processus de sélection d'un produit servant de base à un assemblage.
Ces articles constituent un standard de référence. Les développements peuvent y déroger avec l'accord spécifique du commanditaire.
Ce cadre vise une haute maintenabilité des téléservices par la simplicité. Cette approche facilite la prise en compte de l'accessibilité et de la sobriété numérique.
L'ordre des articles traduit une priorité des exigences en cas de conflit entre celles-ci.

Interopérabilité

Le développeur a la responsabilité de maintenir son site compatible avec les 5 premiers navigateurs web en usage (à date, Chrome, Safari, Firefox, Edge et Samsung internet), dans leurs différents modes (normal, privé, lecture).
Les utilisateurs ou leurs supports informatiques ont la responsabilité de mettre à jour leurs navigateurs, dès lors que cela est gratuit.

Mobile d'abord

Le téléservice est utilisable sur un ordiphone avec un écran de 15 cm en diagonale. Le design s'adapte aux écrans des ordinateurs de bureau, jusqu'à 60 cm.
Le téléservice reste compatible avec un ordiphone âgé de 5 ans mais à jour pour son navigateur, pour ne pas inciter au renouvellement de matériel.
Le téléservice conserve des performances acceptables avec la bande passante et la latence de réseaux mobiles définis comme référence par l'ARCEP dans son rapport annuel. Il limite le poids des pages du fait des abonnements mobiles à trafic mensuel limité.

HTML d'abord

Le téléservice utilise les balises, attributs, composants et comportements HTML natifs (i.e. sélecteur de dates, boîtes de dialogue, contrôle de contraintes sur des champs) plutôt que des WebComponents spécifiques. Javascript est utilisé comme amélioration progressive et non comme un prérequis, sauf impossibilité fonctionnelle. Le balisage HTML assure la meilleure compatibilité avec les navigateurs pour personnes handicapés, traducteurs automatiques et autres aides à la navigation.
Le téléservice utilise les facilités natives d'authentification proposées par les navigateurs et leurs gestionnaires de mots de passe et de clés.
Les ressources web sont accessibles par des URL stables pour conserver des références par lien.

Sobriété numérique et performances

Le téléservice utilise des échanges http compressés (i.e. zstd, gzip) et fait une utilisation maximale des caches par l'emploi d'URL versionées pour les ressources immuables ou les fichiers médias.
Le téléservice exploite les possibilités de multiplexage et de priorité de http/2.
Le téléservice optimise les fichiers médias (images, sons, vidéo) avec des formats à l'état de l'art dès que le matériel de référence pour l'interopérabilité est compatible.
Le téléservice fait une utilisation parcimonieuse de la vidéo. Au chargement d'une page, une vidéo n'est pas lancée automatiquement mais remplacée par une image façade, sans téléchargement d'un lecteur. Pour limiter les transferts au juste nécessaire, les vidéos sont découpées en sections avec débit adaptatif.
Le téléservice s'inscrit dans une démarche d'écoconception globale et respecte 75 % des critères du référentiel général d'écoconception de services numériques (RGESN).

Hébergement écoresponsable

En particulier, le téléservice utilise un hébergement écoresponsable. Il bénéficie d'une efficacité énergétique au-dessus de la moyenne par une utilisation de la chaleur fatale ou a minima par un coefficient d'efficacité optimisé.
Pour éviter la pression sur l'artificialisation des sols, le réemploi de locaux d'hébergement est favorisé.

Accessibilité

Le téléservice soigne ses techniques et pratiques d'assistance aux diverses formes de handicaps, et dépasse un premier palier de 75 % des indicateurs du référentiel général d'amélioration de l'accessibilité.
Le téléservice soigne la présentation des pages d'erreurs (codes 4xx, 5xx), les intègre dans la charte graphique. En particulier, la page de ressource inexistante (404) propose des destinations alternatives. Ces pages n'exposent pas d'informations techniques sur les systèmes sous-jacents.

Technologies éprouvées

Le téléservice minimise le nombre de composants déployés sur les serveurs ou dans les navigateurs.
Ces composants sont connus et approuvés par les structures chargées de l'exploitation et la maintenance à long terme et une chaîne de maintien en condition de sécurité est mise en place.

Charte graphique

Le téléservice suit les instructions de charte graphique du commanditaire (i.e. pour les téléservices ministériels, couleurs et typographie du Design System de l'Etat).
Cette mise en forme graphique est obtenue par emploi de styles CSS, au maximum attachés aux balises et attributs HTML sémantiques, y compris ARIA.

Dispositifs de sécurité

Pour sécuriser le téléservice, les techniques suivantes sont mises en œuvre :

- https sur toutes les origines ;
- marquage des cookies « HttpOnly » et « Secure » ;
- entêtes http dédiés à la sécurité alignés sur les standards techniques du donneur d'ordre, dont une « Content Security Policy ». Les règles applicables aux sous-ressources sont centrées sur l'origine « self », les condensats d'intégrité ou les valeurs uniques de circonstance mais sans « unsafe ».

Les authentifications du téléservice sont déléguées à un fournisseur d'identité désigné par le commanditaire (i.e. FranceConnect ou AgentConnect au standard OpenIDConnect) ou une présentation de certificats (X.509).

Moteurs de recherche externes et robots

S'il a une vocation grand public, le téléservice s'interface avec les moteurs de recherche en exposant des métadonnées et en utilisant les microformats. Le téléservice met en place un suivi en s'enregistrant dans les principaux programmes Search & Webmaster Consoles.
Le téléservice répond aux chemins « bien-connus », notamment robots.txt, security.txt et favicon.ico (en plus du lien dans le bloc <head>).</head>

Suivi de l'audience et métrologies

Le téléservice est équipé pour le suivi globalisé de sa fréquentation. Cela n'implique pas un traçage individualisé des visites.
Le téléservice assure la maîtrise de l'ensemble des données de métrologie en conformité avec le règlement général sur la protection des données.

Permissions minimales

Afin d'éviter un bandeau de consentement qui gêne les handicapés visuels et ennuie les autres utilisateurs, le téléservice ne dépose pas de cookie pour les visites sans authentification.
Les demandes de permissions de notifications ou d'accès à la caméra sont proposées sur les pages intérieures pertinentes et non sur la page d'accueil du téléservice.

Droit d'accès aux données personnelles

S'il manipule des données personnelles, le téléservice inclut des fonctions ou méthodes de recherche pour répondre aux demandes de droit d'accès, rectification ou effacement.

Codes sources et livrables

Les développements respectent les clauses de livraison continue numérique définies par l'arrêté du 14 décembre 2021.

Supervision technique

Le téléservice expose les chemins /healthz, /metrics, /version en respectant leurs pratiques habituelles.
Le téléservice export des journaux web et applicatifs. Ces journaux utilisent des formats standardisés (i.e. Combined Log Format) ou structurés (i.e. logfmt ou JSON Lines).

Publication de points de contacts

Le téléservice répond aux chemins suivants :

- /contacts ou équivalent pour offrir des options de contacts par téléphone, par courrier ou rendez-vous ;
- /mention-legales ou équivalent pour remplir les obligations d'information sur le responsable de publication, l'hébergeur, le niveau d'accessibilité et les objectifs de développement durable ;
- /.well-known/security.txt pour permettre le signalement en urgence de faille de sécurité.

Dossiers de conformités

Les développeurs du téléservice apportent leurs contributions à la préparation de :

- la fiche Registre et l'analyse d'impact de la protection des données pour les évaluations CNIL ;
- l'évaluation d'accessibilité pour la conformité au RGAA ;
- l'homologation de sécurité pour le RGS ;
- l'évaluation d'écoconception vis-à-vis du RGESN.