Au sommaire :
Références
NOR : TREK2236523A
ELI : https://www.legifrance.gouv.fr/eli/arrete/2023/2/7/TREK2236523A/jo/texte
Source : JORF n°0055 du 5 mars 2023, texte n° 18
En-tĂȘte
Le ministre de la transition écologique et de la cohésion des territoires et la ministre de la transition énergétique,
Vu le code de la commande publique, notamment son article R. 2112-2 ;
Vu la loi du 21 juin 2004 pour la confiance dans l’Ă©conomie numĂ©rique ;
Vu la loi du 20 juin 2018 relative à la protection des données personnelles ;
Vu la loi du 15 novembre 2021 visant Ă rĂ©duire l’empreinte environnementale du numĂ©rique ;
Vu l’arrĂȘtĂ© du 13 juin 2014 portant approbation du rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ© ;
Vu l’arrĂȘtĂ© du 20 septembre 2019 portant rĂ©fĂ©rentiel gĂ©nĂ©ral d’amĂ©lioration de l’accessibilitĂ© ;
Vu l’arrĂȘtĂ© du 30 mars 2021 portant approbation du cahier des clauses administratives gĂ©nĂ©rales des marchĂ©s publics de techniques de l’information et de la communication, notamment ses articles 21 et 22,
ArrĂȘtent :
Article 1
Est approuvĂ© le cahier de clauses de dĂ©veloppement de tĂ©lĂ©services web annexĂ© au prĂ©sent arrĂȘtĂ©.
Ce cahier de clauses n’est applicable qu’aux marchĂ©s qui s’y rĂ©fĂšrent.
Article 2
Le sous-directeur des mĂ©thodes et services de plateforme est chargĂ© de l’exĂ©cution du prĂ©sent arrĂȘtĂ©, qui sera publiĂ© au Journal officiel de la RĂ©publique française.
Annexe
ANNEXE
CAHIER DE CLAUSES DE DĂVELOPPEMENT DE TĂLĂSERVICES WEB
Article 1
Champs d’application
Ce cahier de clauses n’est applicable qu’aux marchĂ©s qui s’y rĂ©fĂšrent.
Ces clauses visent des tĂ©lĂ©services, externes et internes, Ă destination des usagers ou des agents, comprenant des pages d’information ou des saisies de donnĂ©es par formulaire et des transitions notables entre pages. Ces spĂ©cifications ne sont pas fonciĂšrement conçues ou adaptĂ©es aux applications fortement interactives type webmail ou systĂšmes d’information gĂ©ographiques (SIG).
Leur contexte est celui de dĂ©veloppements Ă façon. Pour des composants logiciels sur Ă©tagĂšre, le respect des prĂ©sents articles peut faire partie du processus de sĂ©lection d’un produit servant de base Ă un assemblage.
Ces articles constituent un standard de rĂ©fĂ©rence. Les dĂ©veloppements peuvent y dĂ©roger avec l’accord spĂ©cifique du commanditaire.
Ce cadre vise une haute maintenabilitĂ© des tĂ©lĂ©services par la simplicitĂ©. Cette approche facilite la prise en compte de l’accessibilitĂ© et de la sobriĂ©tĂ© numĂ©rique.
L’ordre des articles traduit une prioritĂ© des exigences en cas de conflit entre celles-ci.
Article 2
Interopérabilité
Le développeur a la responsabilité de maintenir son site compatible avec les 5 premiers navigateurs web en usage (à date, Chrome, Safari, Firefox, Edge et Samsung internet), dans leurs différents modes (normal, privé, lecture).
Les utilisateurs ou leurs supports informatiques ont la responsabilité de mettre à jour leurs navigateurs, dÚs lors que cela est gratuit.
Article 3
Mobile d’abord
Le tĂ©lĂ©service est utilisable sur un ordiphone avec un Ă©cran de 15 cm en diagonale. Le design s’adapte aux Ă©crans des ordinateurs de bureau, jusqu’Ă 60 cm.
Le téléservice reste compatible avec un ordiphone ùgé de 5 ans mais à jour pour son navigateur, pour ne pas inciter au renouvellement de matériel.
Le tĂ©lĂ©service conserve des performances acceptables avec la bande passante et la latence de rĂ©seaux mobiles dĂ©finis comme rĂ©fĂ©rence par l’ARCEP dans son rapport annuel. Il limite le poids des pages du fait des abonnements mobiles Ă trafic mensuel limitĂ©.
Article 4
HTML d’abord
Le téléservice utilise les balises, attributs, composants et comportements HTML natifs (i.e. sélecteur de dates, boßtes de dialogue, contrÎle de contraintes sur des champs) plutÎt que des WebComponents spécifiques. Javascript est utilisé comme amélioration progressive et non comme un prérequis, sauf impossibilité fonctionnelle. Le balisage HTML assure la meilleure compatibilité avec les navigateurs pour personnes handicapés, traducteurs automatiques et autres aides à la navigation.
Le tĂ©lĂ©service utilise les facilitĂ©s natives d’authentification proposĂ©es par les navigateurs et leurs gestionnaires de mots de passe et de clĂ©s.
Les ressources web sont accessibles par des URL stables pour conserver des références par lien.
Article 5
Sobriété numérique et performances
Le tĂ©lĂ©service utilise des Ă©changes http compressĂ©s (i.e. zstd, gzip) et fait une utilisation maximale des caches par l’emploi d’URL versionĂ©es pour les ressources immuables ou les fichiers mĂ©dias.
Le téléservice exploite les possibilités de multiplexage et de priorité de http/2.
Le tĂ©lĂ©service optimise les fichiers mĂ©dias (images, sons, vidĂ©o) avec des formats Ă l’Ă©tat de l’art dĂšs que le matĂ©riel de rĂ©fĂ©rence pour l’interopĂ©rabilitĂ© est compatible.
Le tĂ©lĂ©service fait une utilisation parcimonieuse de la vidĂ©o. Au chargement d’une page, une vidĂ©o n’est pas lancĂ©e automatiquement mais remplacĂ©e par une image façade, sans tĂ©lĂ©chargement d’un lecteur. Pour limiter les transferts au juste nĂ©cessaire, les vidĂ©os sont dĂ©coupĂ©es en sections avec dĂ©bit adaptatif.
Le tĂ©lĂ©service s’inscrit dans une dĂ©marche d’Ă©coconception globale et respecte 75 % des critĂšres du rĂ©fĂ©rentiel gĂ©nĂ©ral d’Ă©coconception de services numĂ©riques (RGESN).
Article 6
HĂ©bergement Ă©coresponsable
En particulier, le tĂ©lĂ©service utilise un hĂ©bergement Ă©coresponsable. Il bĂ©nĂ©ficie d’une efficacitĂ© Ă©nergĂ©tique au-dessus de la moyenne par une utilisation de la chaleur fatale ou a minima par un coefficient d’efficacitĂ© optimisĂ©.
Pour Ă©viter la pression sur l’artificialisation des sols, le rĂ©emploi de locaux d’hĂ©bergement est favorisĂ©.
Article 7
Accessibilité
Le tĂ©lĂ©service soigne ses techniques et pratiques d’assistance aux diverses formes de handicaps, et dĂ©passe un premier palier de 75 % des indicateurs du rĂ©fĂ©rentiel gĂ©nĂ©ral d’amĂ©lioration de l’accessibilitĂ©.
Le tĂ©lĂ©service soigne la prĂ©sentation des pages d’erreurs (codes 4xx, 5xx), les intĂšgre dans la charte graphique. En particulier, la page de ressource inexistante (404) propose des destinations alternatives. Ces pages n’exposent pas d’informations techniques sur les systĂšmes sous-jacents.
Article 8
Technologies éprouvées
Le téléservice minimise le nombre de composants déployés sur les serveurs ou dans les navigateurs.
Ces composants sont connus et approuvĂ©s par les structures chargĂ©es de l’exploitation et la maintenance Ă long terme et une chaĂźne de maintien en condition de sĂ©curitĂ© est mise en place.
Article 9
Charte graphique
Le tĂ©lĂ©service suit les instructions de charte graphique du commanditaire (i.e. pour les tĂ©lĂ©services ministĂ©riels, couleurs et typographie du Design System de l’Etat).
Cette mise en forme graphique est obtenue par emploi de styles CSS, au maximum attachés aux balises et attributs HTML sémantiques, y compris ARIA.
Article 10
Dispositifs de sécurité
Pour sĂ©curiser le tĂ©lĂ©service, les techniques suivantes sont mises en Ćuvre :
– https sur toutes les origines ;
– marquage des cookies « HttpOnly » et « Secure » ;
– entĂȘtes http dĂ©diĂ©s Ă la sĂ©curitĂ© alignĂ©s sur les standards techniques du donneur d’ordre, dont une « Content Security Policy ». Les rĂšgles applicables aux sous-ressources sont centrĂ©es sur l’origine « self », les condensats d’intĂ©gritĂ© ou les valeurs uniques de circonstance mais sans « unsafe ».
Les authentifications du tĂ©lĂ©service sont dĂ©lĂ©guĂ©es Ă un fournisseur d’identitĂ© dĂ©signĂ© par le commanditaire (i.e. FranceConnect ou AgentConnect au standard OpenIDConnect) ou une prĂ©sentation de certificats (X.509).
Article 11
Moteurs de recherche externes et robots
S’il a une vocation grand public, le tĂ©lĂ©service s’interface avec les moteurs de recherche en exposant des mĂ©tadonnĂ©es et en utilisant les microformats. Le tĂ©lĂ©service met en place un suivi en s’enregistrant dans les principaux programmes Search & Webmaster Consoles.
Le téléservice répond aux chemins « bien-connus », notamment robots.txt, security.txt et favicon.ico (en plus du lien dans le bloc).
Article 12
Suivi de l’audience et mĂ©trologies
Le tĂ©lĂ©service est Ă©quipĂ© pour le suivi globalisĂ© de sa frĂ©quentation. Cela n’implique pas un traçage individualisĂ© des visites.
Le tĂ©lĂ©service assure la maĂźtrise de l’ensemble des donnĂ©es de mĂ©trologie en conformitĂ© avec le rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es.
Article 13
Permissions minimales
Afin d’Ă©viter un bandeau de consentement qui gĂȘne les handicapĂ©s visuels et ennuie les autres utilisateurs, le tĂ©lĂ©service ne dĂ©pose pas de cookie pour les visites sans authentification.
Les demandes de permissions de notifications ou d’accĂšs Ă la camĂ©ra sont proposĂ©es sur les pages intĂ©rieures pertinentes et non sur la page d’accueil du tĂ©lĂ©service.
Article 14
Droit d’accĂšs aux donnĂ©es personnelles
S’il manipule des donnĂ©es personnelles, le tĂ©lĂ©service inclut des fonctions ou mĂ©thodes de recherche pour rĂ©pondre aux demandes de droit d’accĂšs, rectification ou effacement.
Article 15
Codes sources et livrables
Les dĂ©veloppements respectent les clauses de livraison continue numĂ©rique dĂ©finies par l’arrĂȘtĂ© du 14 dĂ©cembre 2021.
Article 16
Supervision technique
Le téléservice expose les chemins /healthz, /metrics, /version en respectant leurs pratiques habituelles.
Le téléservice export des journaux web et applicatifs. Ces journaux utilisent des formats standardisés (i.e. Combined Log Format) ou structurés (i.e. logfmt ou JSON Lines).
Article 17
Publication de points de contacts
Le téléservice répond aux chemins suivants :
– /contacts ou Ă©quivalent pour offrir des options de contacts par tĂ©lĂ©phone, par courrier ou rendez-vous ;
– /mention-legales ou Ă©quivalent pour remplir les obligations d’information sur le responsable de publication, l’hĂ©bergeur, le niveau d’accessibilitĂ© et les objectifs de dĂ©veloppement durable ;
– /.well-known/security.txt pour permettre le signalement en urgence de faille de sĂ©curitĂ©.
Article 18
Dossiers de conformités
Les développeurs du téléservice apportent leurs contributions à la préparation de :
– la fiche Registre et l’analyse d’impact de la protection des donnĂ©es pour les Ă©valuations CNIL ;
– l’Ă©valuation d’accessibilitĂ© pour la conformitĂ© au RGAA ;
– l’homologation de sĂ©curitĂ© pour le RGS ;
– l’Ă©valuation d’Ă©coconception vis-Ă -vis du RGESN.
Date et signature(s)
Fait le 7 février 2023.
Le ministre de la transition écologique et de la cohésion des territoires,
Pour le ministre et par délégation :
Le sous-directeur des méthodes et services de plateforme,
J.-P. Papillon
La ministre de la transition énergétique,
Pour la ministre et par délégation :
Le sous-directeur des méthodes et services de plateforme,
J.-P. Papillon