Texte complet

Le présent arrêté définit les conditions dans lesquelles s'effectue la dématérialisation du compte de gestion ou financier des collectivités territoriales, de leurs établissements publics et des établissements publics de santé, des décisions budgétaires, des mandats de dépenses, des titres de recettes, des pièces justifiant ces mandats et ces titres ainsi que des bordereaux les récapitulant.

Ces conditions de dématérialisation permettent le jugement du compte de gestion par la chambre régionale des comptes ou l'apurement administratif prévu à l'article L. 211-2 du code des juridictions financières.

Sa mise en oeuvre s'effectue dans le cadre de la charte nationale partenariale de dématérialisation et de la convention-cadre nationale de dématérialisation des documents de la chaîne comptable et financière des collectivités et établissements publics locaux versions 1 et suivantes, prise en application de cette charte, publiées à l'adresse électronique suivante :

http://www.colloc.bercy.gouv.fr/colo_struct_fina_loca/dema.html.

Les collectivités territoriales, leurs établissements publics et les établissements publics de santé, lorsqu'ils choisissent d'effectuer par voie ou sous forme électronique la transmission de tout ou partie des pièces mentionnées aux articles D. 1617-19 et D. 1617-23 du code général des collectivités territoriales, recourent à l'une des modalités de transmission fixées par le présent arrêté.

L'échange de données et de documents électroniques s'opèrent entre les ordonnateurs et les comptables des organismes publics visés à l'article 1er en respectant une norme informatique dénommée "protocole d'échange standard d'Hélios" à partir de ses versions 2 et suivantes, qui est actualisée en fonction de l'évolution des technologies et des besoins d'échange.

Le représentant légal de l'organisme public souhaitant adhérer à ce protocole complète, signe et transmet à son comptable public un formulaire d'adhésion au protocole d'échange standard conforme au modèle figurant en annexe n° 2 du présent arrêté (annexe non reproduite, consulter le fac-similé) à l'issue du processus de validation fonctionnelle et sur la base d'un accord préalable de la DGFiP.

Cette décision d'adhésion, ainsi formalisée, mentionne notamment :

a) La date de mise en oeuvre du protocole d'échange standard dans ses versions 2 et suivantes par l'organisme public pour les transmissions de fichiers à l'application Hélios de la DGFiP ;

b) La nature et les caractéristiques des données et des documents transmis par la voie électronique ;

c) La modalité de transmission retenue, et en particulier le recours ou non à un dispositif de transmission homologué pour l'envoi des données et des documents électroniques au système Hélios, ainsi que la réception de données électroniques en provenance du système Hélios ;

d) La possibilité, pour la collectivité ou l'établissement, de renoncer à l'échange des données et documents dématérialisés conformément à la norme du protocole d'échange standard d'Hélios, et les modalités de mise en oeuvre de cette renonciation.

La validité juridique des mandats de dépenses, des titres de recettes et des bordereaux de mandats de dépenses et de titres de recettes dématérialisés résulte de l'utilisation du protocole d'échange standard d'Hélios dans ses versions 2 et suivantes ainsi que de la signature électronique de l'ordonnateur ou de son représentant dans les conditions prévues à l'article 5.

En signant le formulaire d'adhésion au protocole d'échange standard d'Hélios prévu à l'article 2 du présent arrêté, l'ordonnateur d'un organisme public visé à l'article 1er s'engage à respecter les formats techniques du protocole d'échange standard tels qu'ils sont publiés.

I. En application de l'article D. 1617-23 du code général des collectivités territoriales, la signature électronique des fichiers de données et de documents électroniques transmis au comptable est effectuée par l'ordonnateur ou son représentant au moyen :

- soit d'un certificat garantissant notamment son identification et appartenant à l'une des catégories de certificats visées par l'article 6 de l'arrêté du 28 août 2006 pris en application du I de l'article 48 et de l'article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics formalisés ;

- soit du certificat de signature DGFiP délivré gratuitement par la direction générale des finances publiques aux ordonnateurs des organismes publics visés à l'article 1er du présent arrêté ou à leurs représentants qui lui en font la demande.

Chaque organisme mentionné à l'article 1er du présent arrêté choisit de recourir à l'un ou l'autre de ces certificats.

La signature électronique de l'ordonnateur est portée, selon les modalités prévues à l'article 4 du présent arrêté, soit sur chaque bordereau de mandats de dépenses et chaque bordereau de titres de recettes, soit sur le fichier contenant de tels bordereaux transmis au comptable public conformément au protocole d'échange standard dans sa version 2 ou dans une version ultérieure. La signature électronique emporte signature de tous les bordereaux de mandats, de tous les bordereaux de titres et les effets mentionnés par les alinéas 2 et 3 de l'article D. 1617-23 du code général des collectivités territoriales.

En cas de signature électronique d'un fichier comportant à la fois de tels bordereaux et des pièces justificatives de mandats ou de titres, le signataire du fichier doit avoir compétence pour attester du caractère exécutoire de chacune de ces pièces. Dans le cas contraire, la signature de la certification du caractère exécutoire devra être transmise avec la pièce justificative électronique.

La transmission au comptable public par l'ordonnateur ou son représentant de fichiers aller recette et dépense, signés électroniquement dans les conditions fixées à l'article 4, conformément au protocole d'échange standard dans ses versions 2 et suivantes, dispense l'ordonnateur ou son représentant de produire les mandats de dépenses, les titres de recettes, les bordereaux de mandats et les bordereaux de titres sur support papier au comptable public. Dans le respect des dispositions du présent arrêté, ces données électroniques ont un caractère probant tant à l'égard du comptable public, que de la chambre régionale des comptes, d'autres juridictions ou des tiers.

Le comptable public peut suspendre les effets de l'adhésion au protocole d'échange standard d'Hélios d'un ordonnateur optant pour la dématérialisation avec signature électronique lorsqu'il constate, directement ou indirectement, des altérations graves des données et des documents dématérialisés échangés ou lorsqu'il est empêché d'accéder aux données et documents électroniques transmis par l'ordonnateur.

Toute suspension fait l'objet d'une notification à l'ordonnateur, qui procède, dès sa réception, à la reprise de la transmission de ses pièces concernées sur support papier. Dans cette même hypothèse, l'ordonnateur peut assurer l'envoi des données comptables de prise en charge au moyen de l'un des protocoles informatiques définis aux chapitres 1er et 2 du présent arrêté, mais doit transmettre au comptable les mandats de dépenses, les titres de recettes et les bordereaux récapitulant ces mandats et ces titres sur support papier.

Sans convention spécifique préalable et sans préjudice des dispositions du second alinéa de l'article 8, les ordonnateurs et les comptables publics des organismes publics visés à l'article 1er peuvent s'échanger des fichiers informatiques comportant des informations budgétaires et comptables en respectant la version la plus récente des protocoles décrits en annexe des instructions budgétaires et comptables propres à chaque catégorie d'organismes publics :

INDIGO, MAIDEP, MAIREC ou BUDMRE, pour les transmissions électroniques de données, de l'ordonnateur au comptable, quelle que soit la catégorie de collectivité ou d'établissement public local ;

OCRE, RIO ou RETDEB, RETCRE ou RETTIER, pour les transmissions électroniques de données, du comptable à l'ordonnateur, quelle que soit la catégorie de collectivité ou d'établissement public local ;

HTITRE, HMANDAT ou HBUDGET, pour les transmissions électroniques de données, de l'ordonnateur au comptable des établissements publics de santé et des établissements sociaux et médico-sociaux ;

HREREC, HREDEP ou HRECPT, pour les transmissions électroniques de données, du comptable à l'ordonnateur des établissements publics de santé et des établissements sociaux et médico-sociaux ;

OFFICE, pour les transmissions électroniques de données relatives au quittancement, de l'ordonnateur au comptable des offices publics de l'habitat gérés conformément aux règles de la comptabilité publique ;

ORDREC ou ORESTE, pour les transmissions électroniques de données relatives au quittancement, du comptable à l'ordonnateur des offices publics de l'habitat gérés conformément aux règles de la comptabilité publique ;

ROLMRE, pour les transmissions électroniques de données relatives aux rôles, de l'ordonnateur au comptable, quelle que soit la catégorie de collectivité ou d'établissement public local ;

FLUOR, pour les transmissions électroniques de données relatives aux rôles, du comptable à l'ordonnateur, quelle que soit la catégorie de collectivité ou d'établissement public local.

Le protocole d'échange standard d'Hélios est utilisable, au choix de l'ordonnateur, quel que soit la collectivité territoriale ou l'établissement public, en remplacement de l'un quelconque des protocoles cités à l'article 7 du présent arrêté, selon les modalités décrites au chapitre 1er.

Toutefois, le protocole d'échange standard Aller en recette et dépense dans ses versions 2 et suivantes d'Hélios est le seul protocole pouvant être utilisé par l'ordonnateur pour la transmission dématérialisée au comptable des titres de recettes, des mandats de dépenses et des bordereaux les récapitulant à compter du 1er janvier 2015.

Après conclusion d'un accord local de dématérialisation avec le comptable public et la chambre régionale des comptes ou, le cas échéant, le directeur départemental ou régional des finances publiques compétents, les organismes publics visés à l'article 1er peuvent transmettre à leur comptable public des pièces justifiant leurs mandats de dépenses, leurs titres de recettes et leurs bordereaux récapitulant ces mandats et ces titres sous forme de données et de documents électroniques.

Jusqu'au 31 décembre 2014, les modalités de transmission de ces données et de ces documents électroniques prévues par la convention-cadre nationale relative aux pièces justificatives dématérialisées, transmises sans recourir au protocole d'échange standard d'Hélios dans ses versions 2 et suivantes, peuvent être utilisées dans l'attente de l'adhésion de l'ordonnateur à ce protocole. Ces modalités transitoires sont préalablement définies par accord local conclu entre l'ordonnateur, le comptable et la chambre régionale des comptes compétents.

A partir du 1er janvier 2015, les pièces justificatives dématérialisées sont transmises en recourant au protocole d'échange standard d'Hélios dans ses versions 2 et suivantes.

Le cahier des charges des dispositifs de télétransmission Hélios, opérés conformément à l'article D. 1617-23 du code général des collectivités territoriales figurant en annexe n° 1 au présent arrêté est approuvé.

Un organisme public visé à l'article 1er a le choix, pour effectuer la transmission et la réception de données et de documents électroniques, de recourir soit au portail "Gestion publique" de la direction générale des finances publiques ( https://portail.dgfip.finances.gouv.fr), soit à un dispositif de transmission mis en œuvre par un opérateur dénommé tiers de transmission. A compter du 1er janvier 2012, il n'a plus la possibilité de recourir à des disquettes ou autres supports physiques pour cette transmission.

Dans le cas de l'utilisation du portail "Gestion publique" de la DGFiP, l'organisme public respecte les prérequis techniques communiqués par la direction générale des finances publiques.

Il peut assumer directement la fonction de tiers de transmission en mettant en œuvre un dispositif de transmission. Le recours à un dispositif de transmission mis en œuvre par un tiers de transmission est recommandé dans la logique d'interopérabilité des échanges entre administrations.

Le dispositif technique de transmission, choisi par l'organisme public, est homologué dans les conditions fixées par l'article 12 du présent arrêté.

Lorsque le protocole d'échange standard est mis en oeuvre par les organismes publics visés à l'article 1er pour la dématérialisation des mandats de dépenses, des titres de recettes et des bordereaux les récapitulant, il peut aussi être utilisé pour transmettre les pièces justificatives dématérialisées associées suivant l'une des deux modalités suivantes :

a) Les pièces justificatives sont transmises, au sein du même flux électronique, dans les zones dédiées à cette fin (modèle de flux) ;

b) Les informations identifiant les pièces justificatives sont transmises au sein du même flux électronique, les pièces justificatives étant archivées et consultables sur une plate-forme de stockage sécurisée et référencée selon des modalités fixées par arrêté du ministre en charge du budget (modèle de stock).

L'homologation a pour objet de certifier la conformité au cahier des charges annexé au présent arrêté des dispositifs techniques proposés aux ordonnateurs par les tiers de transmission dans le cadre de l'option ouverte par l'article 11 du présent arrêté.

L'homologation du tiers de transmission est subordonnée au respect des obligations générales énumérées à l'article D. 1617-23 du code général des collectivités territoriales et au respect des obligations techniques décrites dans le cahier des charges en annexe n° 1 du présent arrêté.

L'homologation de tout ou partie d'un dispositif de transmission est prononcée par le ministre en charge du budget sur la base d'un rapport d'évaluation établi par un ou plusieurs centres d'évaluation de la sécurité des technologies de l'information agréés et référencés pour les domaines "techniques informatiques et réseaux" par les services du Premier ministre, conformément au décret n° 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information.

Le responsable du dispositif de transmission sécurisée, dénommé commanditaire, peut adresser à la direction générale des finances publiques du ministère en charge du budget une demande d'homologation dans laquelle il s'engage à présenter un dispositif conforme aux exigences du cahier des charges. Cette demande doit s'accompagner d'un dossier qui comprend :

-une description du dispositif de transmission à homologuer incluant la documentation sur les modalités de mise en oeuvre de ce dispositif ;

-toutes autres indications pouvant être utiles dans la connaissance de ce dispositif (références éventuelles d'utilisation...).

Il est émis un accusé de réception du dépôt de cette demande dont l'instruction par l'administration est subordonnée à la présentation d'un ou plusieurs rapports d'évaluation établis par un ou plusieurs centres d'évaluation mentionnés au précédent article.

Le commanditaire choisit à cette fin un ou plusieurs centres d'évaluation avec chacun desquels il détermine :

-le dispositif objet de l'homologation ;

-les conditions de protection de la confidentialité des informations traitées dans le cadre de l'homologation ;

-le calendrier et les modalités pratiques de l'homologation ;

-le coût et les modalités de paiement de l'évaluation à la charge du commanditaire.

Le commanditaire doit mettre à la disposition du ou des centres d'évaluation agréés qu'il a choisis ainsi que de l'administration, si elle en fait la demande, tous les éléments nécessaires à la procédure d'homologation, après accord, le cas échéant, des fabricants concernés.

Au terme des travaux d'évaluation, chaque centre d'évaluation de la sécurité des technologies de l'information remet un rapport au commanditaire et à la direction générale des finances publiques du ministère en charge du budget. Ce rapport est un document confidentiel dont les informations sont couvertes par le secret industriel et commercial.

Le commanditaire et l'administration valident les rapports d'évaluation en liaison avec le centre d'évaluation concerné. Sur la base du ou des rapports d'évaluation validés, l'administration établit un rapport tendant à prononcer l'homologation ou à la refuser.

L'administration peut, en complément des travaux d'évaluation du ou des centres d'évaluation, procéder, en lien avec le commanditaire, à des vérifications complémentaires de son dispositif.

Le dispositif de transmission ainsi homologué peut être mis en oeuvre par un ou plusieurs tiers de transmission et utilisé pour le compte de plusieurs collectivités et établissements publics locaux.

Le rapport d'homologation est notifié par l'administration au commanditaire et le certificat d'homologation peut être assorti de recommandations.

L'homologation est délivrée pour une période de cinq ans. Toute prolongation au-delà de cette période nécessite une nouvelle évaluation du dispositif. Si, pendant cette période, des modifications substantielles du dispositif homologué interviennent, le commanditaire opère une nouvelle saisine du centre d'évaluation de la sécurité des technologies de l'information pour que son certificat d'homologation soit complété pour les prendre en compte.

En cas de discordance entre le dispositif homologué et sa mise en oeuvre opérationnelle, l'homologation peut être annulée par arrêté du ministre en charge du budget.

Le ministère en charge du budget ne peut être tenu responsable des dysfonctionnements des dispositifs de transmission et de leurs conséquences pour les organismes publics visés à l'article 1er qui les mettent en oeuvre.

Un dispositif de transmission homologué peut être mis en oeuvre par un opérateur dénommé tiers de transmission. La mise en oeuvre effective du dispositif de transmission, notamment le raccordement à l'application Hélios, est subordonnée à la signature préalable entre le tiers de transmission et la direction générale des finances publiques d'une convention de raccordement.

En cas de recours à un tiers de transmission, le contrat conclu entre ce dernier et l'ordonnateur de l'organisme public visé à l'article 1er atteste l'homologation du dispositif de transmission sécurisée et comprend l'engagement de mettre en oeuvre le cahier des charges dans son intégralité et sans altération, dans les conditions fixées par le chapitre 4 du présent arrêté, ainsi que l'engagement d'assurer sa maintenance et son bon fonctionnement.

Le directeur général des finances publiques est chargé de l'exécution du présent arrêté, qui sera publié au Journal officiel de la République française.

1. Préambule

Le cahier des charges de la transmission, approuvé par arrêté de la ministre du budget, des comptes publics et de la réforme de l'Etat, constitue l'un des supports juridiques de la transmission des données et documents dématérialisés des collectivités territoriales, des établissements publics locaux et des établissements publics de santé au comptable public.

Le cadre juridique de la dématérialisation comprend en effet plusieurs composantes :

- l'arrêté du 27 juin 2007 modifié portant application de l' article D. 1617-23 du code général des collectivités territoriales et approuvant notamment le présent cahier des charges (NOR : BCFR0750735A) ;

- le formulaire d'adhésion devant être signé par l'ordonnateur de la collectivité territoriale, de l'établissement public local ou de l'établissement public de santé souhaitant transmettre des données électroniques respectant le protocole d'échange standard. Ce formulaire est rappelé en annexe II du présent arrêté ;

- le présent cahier des charges de la télétransmission énonce les conditions d'homologation des dispositifs de transmission proposés par un opérateur privé ou public, appelé responsable du dispositif de transmission.

Un dispositif homologué peut être mis en œuvre par un ou plusieurs opérateurs, appelés tiers de transmission. La mise en œuvre effective et le raccordement d'un dispositif de transmission homologué sont subordonnés à la signature préalable entre l'opérateur du dispositif (tiers de transmission) et la direction générale des finances publiques (DGFiP) d'une convention de raccordement respectant un modèle arrêté par cette dernière.

2. La dématérialisation avec l'application Hélios

2.1. La chaîne comptable et financière dans le SPL

La gestion comptable et financière des collectivités territoriales, de leurs établissements publics et des établissements publics de santé est l'une des missions fondamentales du réseau de la DGFiP. Conformément au code général des collectivités territoriales , au code de la santé publique , à l' article 60 de la loi n° 63-156 du 23 février 1963 et au décret n° 62-1587 du 29 décembre 1962 , les fonctions de comptable public de ces organismes publics sont exercées par les comptables directs de la DGFiP.

Ces derniers, outre leur mission de comptable public, mettent leur expertise technique à la disposition des décideurs et des gestionnaires locaux.

En qualité de comptable public, le comptable direct de la DGFiP tient les comptes de la collectivité ou de l'établissement. Il est seul chargé du recouvrement de leurs recettes et du paiement de leurs dépenses, celles-ci étant justifiées selon les modalités fixées par l'annexe I visée à l' article D. 1617-19 du code général des collectivités territoriales .

Le comptable public rend compte chaque année de sa gestion en élaborant un compte de gestion ou un compte financier soumis au vote de l'assemblée délibérante de la collectivité ou de l'établissement puis au contrôle de la chambre régionale des comptes. Sa responsabilité personnelle et pécuniaire peut être engagée, le cas échéant, par le juge des comptes.

2.2. Le progiciel Hélios

L'application informatique Hélios des comptables directs de la DGFiP vise à améliorer le service rendu aux ordonnateurs des organismes publics susvisés avec deux objectifs majeurs :

- développer l'action du réseau de la DGFiP grâce à une offre de services enrichie ;

- accompagner la modernisation de la gestion publique en proposant un haut degré de paramétrage permettant l'adaptation de l'outil aux évolutions à venir et en prenant en compte la dématérialisation des échanges d'informations avec les ordonnateurs.

Hélios a également pour objet d'améliorer le service rendu aux organismes publics grâce à une gamme de prestations enrichies.

2.3. La dématérialisation avec Hélios et le PES

Sous l'impulsion du pôle national de dématérialisation de la DGFiP, une charte nationale partenariale pour la dématérialisation de la chaîne comptable et financière dans le secteur public local a été signée le 7 décembre 2004 avec les quatorze associations nationales représentatives des ordonnateurs concernés, les cinq administrations centrales de l'Etat concernées et les juridictions financières. La charte propose les principes généraux qui doivent présider à des actions cohérentes et coordonnées pour réussir la dématérialisation dans le secteur public local et, en particulier, le souhait de favoriser l'échange de données normalisées.

Elle est consultable sur internet à l'adresse électronique suivante :

http :// www. colloc. bercy. gouv. fr/ colo _ struct _ fina _ loca/ dema/ stru _ nati. html

C'est sur la base des principes arrêtés par cette charte que les partenaires nationaux susvisés ont adopté une convention-cadre nationale le 16 décembre 2005 abrogée et reprise par la convention-cadre unique du 18 janvier 2010. Cette dernière fixe les modalités de la dématérialisation des pièces justifiant les ordres de dépense et de recette des organismes publics locaux émis par les ordonnateurs locaux et transmis à Hélios au moyen du protocole d'échange standard d'Hélios.

Ce protocole, dans ses versions n° 2 et ultérieures, permet non seulement de dématérialiser les titres de recettes, les mandats de dépenses ainsi que les bordereaux récapitulant ces mandats et ces titres, mais aussi de transmettre les pièces dématérialisées qui justifient ces pièces comptables quel que soit leur format. Cette orientation reposant sur un seul mode de dématérialisation et un seul vecteur de transmission pour l'ensemble des échanges à finalité comptable est complétée par une définition des modalités de transmission de ce flux unique à valeur probante par le présent cahier des charges.

2.4. Le protocole PES et les signatures électroniques

Le protocole d'échange standard (PES) dans ses versions n° 2 et ultérieures autorise la transmission de deux signatures électroniques :

- la signature électronique dite " métier " des bordereaux de mandats de dépenses et des bordereaux de titres de recettes par l'ordonnateur ou son représentant conférant un caractère probant à ces pièces comptables tant vis-à-vis du comptable public que de la chambre régionale des comptes ;

- la signature électronique dite " technique " ou de " transmission " des fichiers de données électroniques intitulés " PES Aller dépense et recette ". Cette signature " technique " doit préserver l'intégrité de la signature " métier " et conserver l'intégralité de ses éléments (nom, prénom, qualité ou rôle du signataire, date de signature...).

Par souci de simplification, lorsque tous les bordereaux sont signés par la même personne faisant fonction d'ordonnateur, la signature globale du fichier par l'ordonnateur ou son représentant constituera une signature " métier " de l'ensemble des bordereaux.

Le PES permet aussi la communication de fichiers de signatures portant sur les pièces justificatives des mandats de dépenses et des titres de recettes. La génération des signatures est du ressort de chaque organisme public local émetteur des fichiers ou de leurs prestataires (fournisseurs).

2.5. La transmission dans la chaîne de travail

La transmission ne constitue qu'une étape dans la chaîne de travail entre le système d'information de l'organisme public local et le progiciel Hélios de la DGFiP qui permet d'identifier des étapes de production, de validation et de transmission des fichiers. Le processus peut être ainsi décomposé :

- la production du flux (fichier PES Aller) par le progiciel financier de la collectivité territoriale, de l'établissement public local ou de l'établissement public de santé ;

- la validation du flux par l'autorité compétente de la collectivité territoriale, de l'établissement public local ou de l'établissement public de santé, le cas échéant ;

- la transmission sécurisée du flux via le dispositif de transmission choisi par la collectivité territoriale, l'établissement public local ou l'établissement public de santé ;

- la validation technique du flux par Hélios et son intégration technique ;

- la production par Hélios d'un accusé de réception du flux ;

- la transmission sécurisée de l'accusé réception du flux par la DGFiP via le même dispositif de transmission qu'à l'aller ;

- la prise en compte par le progiciel financier de la collectivité territoriale, de l'établissement public local ou de l'établissement public de santé de l'accusé de réception du flux.

En fin de chaque exercice, l'ensemble de ces flux PES transmis par la collectivité territoriale, l'établissement public local ou l'établissement public de santé sont intégrés au compte de gestion sur pièces ou au compte financier du comptable public.

Ce processus est complété, suivant les souhaits exprimés par la collectivité territoriale, l'établissement public local ou l'établissement public de santé, par la transmission à ce dernier de flux dits retour, de manière asynchrone, donnant des informations sur les opérations comptables réalisées par le comptable public (paiements, encaissements...) :

- la production du flux (PES Retour) par le progiciel Hélios ;

- la transmission sécurisée du flux retour via le dispositif de transmission choisi par la collectivité territoriale, l'établissement public local ou l'établissement public de santé ;

- l'intégration du flux retour par le progiciel financier de la collectivité territoriale, de l'établissement public local ou de l'établissement public de santé.

Le présent cahier des charges ne concerne que la seule phase de transmission et ne concerne pas les phases de production et de validation qui pourront faire l'objet de procédure d'homologation qui leur seront propres.

2.6. Les dispositifs de transmission

Les collectivités territoriales, les établissements publics locaux et les établissements publics de santé peuvent transmettre des fichiers PES aller à Hélios à l'aide d'un dispositif de transmission homologué.

Par dispositif de transmission, on entend l'ensemble constitué par les outils (matériels et logiciels) ainsi que les documents décrivant les modalités de mise en œuvre et d'exploitation de ces outils permettant à un ou plusieurs organismes publics de transmettre et de recevoir de façon dématérialisée des données et documents électroniques au format PES. Les outils situés en amont ou en aval de la transmission ne font pas partie du périmètre de la présente homologation et ne font pas l'objet d'exigence dans le présent cahier des charges.

Pour transmettre les données électroniques PES aller au comptable public, chaque organisme public doit recourir soit au portail de la gestion publique de la DGFiP, soit à un dispositif de transmission homologué conformément au présent cahier des charges. Il est libre de choisir le dispositif qui lui convient, disponible sur le marché, à la condition qu'il ait bien été préalablement homologué par la DGFiP.

L'homologation des dispositifs de transmission s'inscrit dans la logique d'interopérabilité entre administrations, un tiers de transmission pouvant offrir des dispositifs de transmission acceptés par plusieurs administrations de l'Etat. Par exemple, un même dispositif de télétransmission pourra être homologué par le ministère de l'intérieur et de l'aménagement du territoire (application Actes) et par la DGFiP (application Hélios). Le dispositif de transmission peut être mis en œuvre par un tiers de transmission (TdT). Le tiers de transmission peut être :

- une entreprise privée proposant son dispositif homologué de transmission aux collectivités et établissements publics locaux ;

- un organisme public mutualisant la mise en œuvre d'un dispositif homologué pour le compte de plusieurs collectivités territoriales, établissements publics locaux ou établissements publics de santé ;

- une collectivité territoriale, un établissement public local ou un établissement public de santé mettant en œuvre un dispositif homologué spécifique pour son propre compte.

Vous pouvez consulter le tableau dans le JO

n° 186 du 12/08/2011 texte numéro 48

L'opérateur de transmission doit respecter les obligations et exigences suivantes :

Obligation n° 1-1 du tiers de transmission

Le dispositif de transmission homologué garantit la transmission sécurisée de flux électroniques entre les collectivités et la DGFiP, via le service d'échange d'Hélios. Il communique avec le service d'échange d'Hélios selon les modalités techniques ci-après :

Vous pouvez consulter le tableau dans le JO

n° 186 du 12/08/2011 texte numéro 48

2.7. Rôle des acteurs

La DGFiP met en place les infrastructures nécessaires à la réception et au stockage des données et documents électroniques reçus.

Elle met également à la disposition des collectivités territoriales, des établissements publics locaux et des établissements publics de santé la liste des dispositifs de transmission homologués à l'adresse électronique suivante : http :// www. colloc. bercy. gouv. fr/ colo _ struct _ fina _ loca/ dema/ prot _ dech/ disp _ tele. html

Elle fournit à l'opérateur de chaque dispositif de transmission les paramètres techniques de connexion au service d'échange d'Hélios.

Les personnels du réseau de la DGFiP sont utilisateurs du progiciel Hélios, afin d'exercer leurs missions rappelées supra.

Les collectivités territoriales, les établissements publics locaux et les établissements publics de santé utilisent un dispositif de transmission homologué pour transmettre leurs données et documents électroniques, ces dispositifs pouvant être interfacés ou non avec leurs propres outils informatiques (progiciel financier, en particulier).

Le tiers de transmission (public ou privé) met en œuvre un dispositif de transmission homologué et garantit le respect du présent cahier des charges et des dispositions de la convention de raccordement susvisée.

3. Les clauses de conformité au dispositif de transmission

Ce chapitre énonce l'ensemble des clauses dont le respect conditionne l'homologation de tout dispositif de transmission.

3.1. Architecture globale

Le dispositif de transmission doit respecter l'architecture globale définie dans le chapitre 2 du présent cahier des charges.

3.2. Normes pour les échanges de données

Le dispositif de transmission a vocation à envoyer à Hélios des données de prise en charge comptable sous forme électronique au format PES Aller, associées à des pièces justificatives également sous forme électronique. La qualification de la production des fichiers dits " PES Aller " fait l'objet d'un processus de qualification qui lui est propre et indépendant de la transmission.

3.3. Sécurisation des flux

3.3.1. Confidentialité des données

Le dispositif de transmission ne doit pas conduire à exploiter des données à caractère personnel détenues dans le cadre de la transmission. Si le dispositif utilise des données collectées dans le cadre de la transmission des données et documents électroniques, pour des usages ou des traitements ayant un objet autre que la seule transmission, et si ces données incluent des données nominatives personnelles, ces usages et traitements doivent faire l'objet d'une déclaration spécifique auprès de la CNIL conformément aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Cette obligation est rappelée dans la convention de raccordement signée par l'opérateur de transmission.

3.3.2. Authentification, intégrité

Le dispositif de transmission doit respecter les exigences de sécurisation décrites ci-après, qui ont pour objet, pour chaque flux de données et de documents électroniques, de permettre l'authentification de l'émetteur et de garantir l'intégrité des données transmises.

3.3.3. Protection contre les intrusions

Obligation n° 1-6 de l'opérateur

Le dispositif doit inclure des mécanismes assurant la détection et la prévention des attaques du réseau provenant des réseaux auxquels il est raccordé, en particulier de l'internet. Ces mécanismes devront être conformes à l'état de l'art en matière de prévention des intrusions. La documentation de mise en œuvre et d'exploitation du dispositif doit prévoir que ces mécanismes feront l'objet de mises à jour régulières conformément aux prescriptions des éditeurs de ces mécanismes.

Le dispositif pourra en outre proposer de tenir à jour des fichiers techniques relatifs au suivi des transactions, permettant d'identifier les tentatives d'accès frauduleux, et l'usage des certificats révoqués par l'Autorité de certification.

3.4. Fonctionnalités

3.4.1. Emission des flux décrits

Obligation n° 1-7-1 de l'opérateur

Le dispositif doit permettre l'émission et la réception des flux de données XML vers le service d'échange d'Hélios, selon le format du PES d'Hélios versions 2 et supérieures).

Obligation n° 1-7-2 de l'opérateur

Le dispositif doit permettre l'émission selon le format PES PJ des pièces justificatives dématérialisées de manière désynchronisée (c'est-à-dire autonome) par rapport au flux PES Aller recette ou dépense concerné.

3.4.2. Traçabilité

Obligation n° 1-8 de l'opérateur

Le dispositif de transmission doit mettre à jour une liste des traces des fichiers échangés avec Hélios. Cette liste doit identifier intelligiblement la nature et les noms des fichiers de données échangés, les date et heure de transmission, la taille du fichier (octets), son empreinte SHA-1.

Elle doit pouvoir être exportable soit au format XML avec un élément XML correspondant à chaque fichier transmis, soit au format CSV avec une ligne pour chaque fichier transmis.

La convention de raccordement signée par l'opérateur du dispositif prévoit que cette liste doit pouvoir être fournie à la DGFiP ou à l'organisme public local à leur demande, et qu'elle fera l'objet d'un archivage sur une période minimale de huit années.

3.5. Modalités d'exploitation

et gestion des incidents de fonctionnement

Une collectivité territoriale, un établissement public local ou un établissement public de santé doit pouvoir transmettre à tout moment ses données et documents électroniques au moyen de son dispositif de transmission homologué. Néanmoins, en cas de nécessité due à la charge globale de transmission vers Hélios, le dispositif doit pouvoir limiter les flux de données à destination du service d'échange d'Hélios.

Obligation n° 1-9 de l'opérateur

Le dispositif de télétransmission doit comporter des fonctionnalités de contrôle de flux permettant la limitation du volume des données transmis vers le service d'échange Hélios (en nombre de mégaoctets par heure).

Les conventions de raccordement, signées par les opérateurs des dispositifs de transmission, précisent que la DGFiP peut imposer à chaque opérateur de telles limitations, et que la mise en œuvre de ces limitations doit être effective dans les quatre heures ouvrables suivant la demande.

Obligation n° 1-2 de l'opérateur

La documentation de mise en œuvre et d'exploitation du dispositif doit préciser explicitement les modalités de prise en compte des demandes de limitation des flux de la DGFiP.

Obligation n° 1-3 de l'opérateur

Le dispositif de télétransmission doit également être capable de stocker provisoirement des transmissions venant de collectivités territoriales, d'établissements publics locaux ou d'établissements publics de santé, afin de faire face à une limitation des flux ou à un arrêt provisoire, prévu ou non, du service d'échange d'Hélios.

Dans la convention de raccordement, l'opérateur s'engage à adapter sa capacité de stockage afin de pouvoir stocker des données transmises par les organismes publics, sans les transmettre au service d'échange d'Hélios pendant deux jours ouvrés. Quel que soit l'état de disponibilité du service d'échange d'Hélios, les fonctionnalités du dispositif de transmission doivent rester accessibles à la collectivité territoriale ou à l'établissement public local.

Obligation n° 1-4 de l'opérateur

Le dispositif de télétransmission doit intégrer les mécanismes de relance automatique permettant de garantir l'acheminement des flux des organismes publics à Hélios sans intervention complémentaire de ces derniers, même en cas d'indisponibilité du service d'échange d'Hélios.

La convention de raccordement prévoit qu'en cas d'incident de transmission de fichiers vers Hélios l'opérateur du dispositif de transmission, avant de contacter la DGFiP afin de résoudre l'incident, effectue toutes les opérations de diagnostic interne sur le dispositif permettant d'identifier les causes, les conséquences et les voies de résolution.

4. Exigences techniques

Exigence n° 2-1

Quand un dispositif effectue une transmission vers le service d'échange d'Hélios, il doit s'assurer que le fichier XML transmis respecte les règles de nommage précisé par le cahier des charges.

Exigence n° 2-2

Afin de transmettre et de recevoir les fichiers via le service d'échange d'Hélios, le dispositif homologué utilise les protocoles de transfert PESIT ou FTP au travers d'une interconnexion VPN Lan2Lan avec le réseau Rubis de la DGFiP.

Exigence n° 2-3

Pour toute transmission du fichier au service d'échange d'Hélios, le dispositif homologué s'assure que la taille fichier transmis ne dépasse pas 100 Mo.

Exigence n° 2-4

Le dispositif est capable d'ouvrir et de maintenir une interconnexion VPN Lan2Lan IPSec avec le réseau de la DGFiP (spécifications détaillées fournies avec la convention de raccordement fournie par la DGFiP). Les échanges de fichiers avec le service d'échange d'Hélios se font au moyen des protocoles FTP ou PESIT.

Exigence n° 2-5

Le dispositif devra s'authentifier, d'une part, au travers de la mise en œuvre de l'interconnexion Lan2Lan, d'autre part, au travers des paramètres d'identification PESIT ou FTP.

Exigence n° 2-6

Le dispositif est capable de mettre en œuvre l'interconnexion VPN Lan2Lan avec authentification par clé secrète ou certificat " serveur ".

Exigence n° 2-7

Le dispositif est capable de communiquer en utilisant une adresse IP fixe publique, utilisée pour mettre en œuvre à l'interconnexion Lan2Lan.

Exigence n° 2-8

Pour chaque transmission, le dispositif de télétransmission authentifie la collectivité ou l'établissement émetteur aux moyens de certificats présentés par les agents de l'organisme émetteur et/ ou les infrastructures de l'émetteur.

Exigence n° 2-9

Le dispositif accepte la transmission des flux PES aller signés " métier " par des organismes publics selon l'une des modalités suivantes :

- soit d'un certificat garantissant notamment son identification et appartenant à l'une des catégories de certificats visées par l'article 6 de l'arrêté du 28 août 2006 pris en application du I de l' article 48 et de l' article 56 du code des marchés publics et relatif à la dématérialisation des procédures de passation des marchés publics formalisés, La liste de ces certificats est consultable à l'adresse électronique suivante sur internet :

http :// www. entreprises. minefi. gouv. fr ;

- soit du certificat de signature " DGFiP " délivré à titre gratuit par la DGFiP aux ordonnateurs des organismes publics visés à l'article 1er du présent arrêté. ou à leurs représentants.

Exigence n° 2-10

Le dispositif contrôle la validité du certificat de signature " métier " utilisé au regard de la liste de révocation mise à disposition par l'Autorité de certification, avant d'en effectuer le transfert effectif à Hélios.

Exigence n° 2-11

Le dispositif garantit l'intégrité de la signature " métier " des fichiers PES Aller et conserve l'intégralité de ses éléments (nom, prénom, qualité ou rôle du signataire, date de signature...), lorsqu'il applique une signature " technique " lors de la transmission des fichiers PES Aller.

Exigence n° 2-12

Le dispositif transmet les fichiers de signature des pièces justificatives dématérialisées associées aux fichiers PES Aller et garantit l'intégrité de cette signature ainsi que l'intégralité de ses éléments (nom, prénom, qualité ou rôle du signataire, date de signature...).

Exigence n° 2-13

Pour les transmissions d'information en provenance des organismes publics, le dispositif comprend des mécanismes garantissant que la confidentialité et l'intégrité des données de la collectivité ou de l'établissement au cours de la transmission. A titre de recommandation et conformément au Référentiel général d'interopérabilité, les protocoles suivants peuvent être utilisés : TLS 1.0 et SSL 3.0, IPSEC.

Exigence n° 2-14

Dans le cas où PESIT est utilisé, le dispositif est capable de déposer le fichier dans un répertoire donné du serveur PESIT du service d'échange Hélios, en s'authentifiant avec identifiant et mot de passe et en utilisant les paramètres PESIT communiqués par la DGFiP.

Exigence n° 2-15

Dans le cas où FTPs est utilisé, le dispositif est capable de déposer le fichier dans un répertoire donné du serveur FTPs du service d'échange d'Hélios, en s'authentifiant avec identifiant et mot de passe et en utilisant les paramètres FTP communiqués par la DGFiP.

Exigence n° 2-16

La documentation de mise en œuvre et d'exploitation du dispositif de transmission précise explicitement la prise en compte organisationnelle et technique des modalités, décrites ci-dessus, de gestion de l'adressage IP, clés privées et mots de passe, et les échanges avec le service d'échange d'Hélios sur le sujet.

Exigence n° 2-17

Le dispositif de télétransmission dispose d'un certificat serveur afin d'assurer l'authentification mutuelle par certificat avec les agents ou infrastructures des organismes publics clients. Ces certificats " serveur " devront être conformes aux exigences du RGS de la DGME. Ce dernier ne peut être utilisé, par l'ordonnateur ou son représentant, pour la signature électronique " métier " ni des flux PES Aller, ni des pièces justificatives dématérialisées.

Exigence n° 2-18

La documentation de mise en œuvre et d'exploitation du dispositif précise les mesures de protection de la clé privée du certificat serveur du dispositif, qui devra être conforme au référentiel général de sécurité.

Exigence n° 2-19

La documentation de mise en œuvre et d'exploitation du dispositif détaille les processus de mise à jour du paramétrage du dispositif permettant d'accepter, pour l'authentification des collectivités, uniquement les certificats conformes au référentiel général de sécurité.

Exigence n° 2-20

Le dispositif de transmission dispose d'un référentiel des collectivités et des établissements qui lui sont raccordés et autorisés à télétransmettre, identifiés par leur numéro SIREN/ SIRET. Le référentiel inclut les certificats d'authentification utilisés par chaque collectivité ou établissement raccordé, prévus à l'exigence 2-17.

Exigence n° 2-21

La documentation de mise en œuvre et d'exploitation du dispositif prévoit que les certificats présentés par les collectivités ou les établissements pour l'authentification au dispositif de transmission sont valides.

FORMULAIRE D'ADHÉSION

AU PROTOCOLE D'ÉCHANGE STANDARD D'HÉLIOS

Nom de la collectivité territoriale, de l'établissement public local ou de l'établissement public de santé :



N° SIRET du budget principal :

Représenté (e) par : Mme, Mlle ou M.

Nom :

Prénom :

Qualité :

Après avoir pris connaissance de l'arrêté d'application de l' article D. 1617-23 du CGCT , déclare adhérer au protocole d'échange standard d'Hélios (PES) pour la transmission de données et de documents électroniques à mon comptable assignataire suivant :

Trésorerie de :

La présente adhésion porte sur la transmission de flux de données électroniques suivantes (cocher les cases correspondant) :

Version n° 2 du PES

Modalités de transmission :

Tiers de transmission homologué, précisez lequel :

Portail de la gestion publique de la DGFiP

La présente adhésion porte sur les flux de données électroniques suivants (cocher les cases correspondantes) :

Domaine PES Aller recette

Budgets concernés :

Titres de recettes émis par l'ordonnateur et à prendre en charge par le comptable : date de mise en œuvre : JJ/ MM/ AAAA

Rappel de la date de mise en œuvre si antérieure au présent formulaire : JJ/ MM/ AAAA

Bordereaux récapitulant les titres de recettes signés électroniquement de l'ordonnateur ou de son représentant dûment habilité : date de mise en œuvre : JJ/ MM/ AAAA

Rappel de la date de mise en œuvre si antérieure au présent formulaire : JJ/ MM/ AAAA

Nom de l'éditeur financier et nom du progiciel financier émettant les flux PES :

L'utilisation du protocole d'échange standard Aller, par la collectivité ou l'établissement ci-dessus désigné (e), pour les seuls flux cochés ci-dessus, emporte dématérialisation des documents papier correspondant qui n'ont plus à être transmis sur support papier tant au comptable public susvisé qu'à la chambre régionale des comptes compétente.

Domaine Aller PES dépense

Budgets concernés :

Mandats de dépenses émis par l'ordonnateur et à prendre en charge par le comptable : date de mise en œuvre : JJ/ MM/ AAAA

Rappel de la date de mise en œuvre si antérieure au présent formulaire : JJ/ MM/ AAAA

Bordereaux récapitulant les mandats de dépenses signés électroniquement de l'ordonnateur ou de son représentant dûment habilité : date de mise en œuvre : JJ/ MM/ AAAA

Rappel de la date de mise en œuvre si antérieure au présent formulaire : JJ/ MM/ AAAA

Nom de l'éditeur financier et nom du progiciel financier émettant les flux PES :

L'utilisation du protocole d'échange standard Aller, par la collectivité ou l'établissement ci-dessus désigné (e), pour les seuls flux cochés ci-dessus, emporte dématérialisation des documents papier correspondant qui n'ont plus à être transmis sur support papier tant au comptable public susvisé qu'à la chambre régionale des comptes compétente.

Transmission des pièces justificatives dématérialisées

(flux de pièces justificatives dématérialisées à l'appui des mandats de dépenses et des titres de recettes)

En complément du présent formulaire, les pièces justificatives transmises avec le PES Aller recette ou dépense font l'objet d'un accord local de dématérialisation conclu par l'ordonnateur, le comptable public et la chambre régionale des comptes ; cet accord local est la base contractuelle de la dématérialisation des pièces justificatives.

Budgets concernés :

Les flux PES Aller recette et dépense, ci-dessus cochés, font l'objet d'une signature électronique par l'ordonnateur au moyen d'un certificat de signature électronique dont les caractéristiques sont les suivantes :

Certificat entreprise référencé

- nom de l'autorité de certification ayant délivré le certificat ;

- référence et date de délivrance du certificat.

Certificat de signature de la DGFiP

Annule et remplace le précédent formulaire signé le JJ/ MM/ AAA

Date de signature du formulaire : à, le//

Signature :

Nota bene : l'élargissement du périmètre (domaines ou budgets) doit donner lieu à la signature d'un nouveau formulaire. Le dernier formulaire signé retrace la totalité de la situation de la collectivité (ancienne et nouvelle). Il mentionne qu'il annule et remplace le formulaire précédent (en mentionnant la date de signature et les dates de mises en œuvre des différents domaines ou budgets précédemment dématérialisés.

Ce document est à adresser par le signataire au comptable public assignataire et à la chambre régionale des comptes compétente.