🏥 APPEL D'OFFRE CAIH - RÉSUMÉ COMPLET & DÉTAILLÉ

Partenariat d'Innovation "Alternative Open Source"

Référence Consultation : E26-01 | Procédure avec négociation

Références documentaires : [PF] = Programme Fonctionnel v20251222 | [CCAP] = Cahier Clauses Administratives Particulières v1.0 | [RC] = Règlement de Consultation v20260130 | [Annexe 1 RC] = Trame de Réponse Candidature

🎯 CONTEXTE & ENJEUX STRATÉGIQUES [RC, Préambule]

Situation Actuelle des Établissements de Santé

Les établissements sanitaires et médico-sociaux adhérents à la CAIH utilisent aujourd'hui majoritairement des environnements logiciels et services propriétaires intégrés, dépendant d'éditeurs internationaux dominants.

Problématiques Identifiées

Problème	Impact
💸 Coûts d'exploitation	Coût global annuel devenu difficilement soutenable
🔗 Dépendance structurelle	Technologies étrangères non maîtrisées
🔒 Verrouillage technologique	Perte de souveraineté sur les données
⚡ Faible interopérabilité	Initiatives open source nationales/européennes non intégrées

Solution Recherchée [RC, Art. 1.2]

Concevoir, expérimenter, qualifier et industrialiser une suite logicielle open source souveraine couvrant :

Environnement de travail
Identité numérique
Virtualisation
Infrastructure hospitalière (bases de données, socles applicatifs)

Aspects Innovants et Différenciants [RC, Art. 2.1]

Le modèle ALTERNATIVE se distingue par :

Guichet unique de support et de maintenance
Standard "Open Source en santé" permettant aux éditeurs de progiciels métiers de migrer depuis technologies monopolistiques vers solutions Open Source aux coûts maîtrisés
Protection des données contre lois étrangères d'application extraterritoriale

⏰ INFORMATIONS CRITIQUES

Informations Générales [PF, Articles 1-2 & CCAP, Article 3]

Élément	Détail
Commanditaire	CAIH (Centrale d'Achat de l'Informatique Hospitalière)
Type marché	Partenariat d'Innovation, Accord-cadre composite
Procédure	Procédure avec négociation (articles L2124-3, R2124-3-4°, R2161-12 CCP)
Montant maximum	250 M€ HT (toutes phases incluses)
Non-Allotissement	Marché unique, pas de lots (co-traitance autorisée)
DEADLINE CANDIDATURE	19 février 2026 à 12h30
Durée R&D	12 mois max cumulés (3 séquences)
Durée Acquisition	5 ans ferme + 2 reconductions (1-2 ans chacune)
Durée totale estimée	7-9 ans

Codes CPV [RC, Art. 1.2]

Code	Libellé
72262000-9	Services de développement de logiciels
72415000-2	Services d'hébergement pour l'exploitation de sites
72000000-5	Services de technologies de l'information, conseil, développement

Objectif Stratégique Principal [PF, Article 2]

Migrer 100 000+ postes (250 000+ utilisateurs) vers l'Open Source d'ici 2030

Calendrier Prévisionnel [RC, Article 2.4]

Étape	Date
Retour candidatures	19 février 2026, 12h30
Sélection 3 candidats	10 mars 2026
Demande offres initiales	Mi-mars 2026
Date limite offres initiales	Mi-avril 2026

Prime aux Candidats [RC, Article 3.1.7]

20 000€ TTC versée aux candidats ayant participé à toutes les phases et remis une offre finale recevable
Pour l'attributaire : prime déduite des premiers paiements du contrat
Conditions : participation effective aux phases de négociation + offre régulière, acceptable et appropriée

Bénéficiaires [CCAP, Article 2.2]

Directs : CAIH + 13 établissements membres groupement
Potentiels : Tous établissements de santé français actuels et futurs

13 Établissements Membres du Groupement [CCAP, Annexe 1]

N°	Établissement	SIRET
1	CHU d'Angers	26490003600015
2	Union Sanitaire et Sociale pour l'Accompagnement et la Prévention	32086181800237
3	Hospices Civils de Lyon	26690027300019
4	CHU de Reims	26510005700487
5	Assistance Publique – Hôpitaux de Paris	26750045201928
6	CHU de Brest	20002305900013
7	Assistance Publique – Hôpitaux de Marseille	26130008100484
8	CHU de Nîmes	26300003600032
9	Groupe Hospitalier La Rochelle – Ré – Aunis	20004783500018
10	Groupe Hospitalier Rance Émeraude	26350005000012
11	CHI Redon – Carentoir	26350012600010
12	CHD Vendée	26850242400016
13	CAIH	80076579400022

Lieux d'Exécution [CCAP, Article 3.1]

Phase conception : Union Européenne obligatoirement
Phase expérimentation : Sites pilotes des membres groupement

🔒 SECTION 1 : SOUVERAINETÉ & DONNÉES

Données de Santé - Risque Élevé [PF, Préambule]

Nature des Données [PF, Préambule - Nature des données]

Définition légale (Article 4, §15 RGPD) : "Ensemble des informations relatives à l'état de santé physique ou mentale d'une personne physique, y compris celles liées à la prévention, au diagnostic, aux soins ou au suivi médico-administratif"

Classification & Traitement [PF, Préambule - Nature des données]

Classification : Catégories particulières de données personnelles (Article 9 RGPD)
Traitement : Par principe INTERDIT
Exceptions : Strictement encadrées
Protection : Renforcée obligatoire

Niveau de Risque [PF, Préambule - Niveau de risque]

Évaluation : Risque ÉLEVÉ pour droits et libertés
Impact : GRAVE en cas violation (atteinte vie privée, discrimination, préjudice moral)
Criticité : ACCRUE pour continuité de service

Exigences Non-Négociables de Souveraineté [PF, Article Préliminaire & PF, Préambule]

Certification HDS - OBLIGATOIRE [PF, Préambule - Justification HDS]

Hébergeur de Données de Santé (Article L.1111-8 Code Santé Publique)

Obligation d'ordre public
S'impose pour hébergement, opération ou administration de données de santé
Garantit : sécurité, traçabilité, gouvernance, continuité d'activité
Statut : Non-négociable [PF, Article Préliminaire]

Localisation Exclusive Union Européenne [PF, Article Préliminaire - Exigences minimales souveraineté]

Hébergement exclusivement dans l'UE
Aucun transfert de données vers pays tiers
Administration 100% depuis État membre UE

Critères Capitalistiques [PF, Article Préliminaire - Les critères de détention capitalistique]

Prestataire d'hébergement :

Capital non-UE : MAX 24% par entité tierce individuelle
Capital non-UE : MAX 39% collectif
Pas de droit de véto non-UE
Pas de majorité organes d'administration non-UE

Sous-traitants critiques : Mêmes critères si accès données sensibles

Autonomie d'Exploitation Continue [PF, Article Préliminaire - Définition hébergement souverain]

Capacité à maintenir service sans dépendance unique fournisseur
OU qualification SecNumCloud 3.2 du sous-traitant
OU accès à au moins 2 autres prestataires fournisseurs

SecNumCloud 3.2 - RECOMMANDÉE (non obligatoire) [PF, Préambule - Justification SecNumCloud]

Principes appliqués :

Maîtrise capitalistique et gouvernance opérateur
Immunité juridique vis-à-vis lois extraterritoriales
Contrôle effectif chaîne sous-traitance
Sécurité opérationnelle & organisationnelle renforcée

Conformité Réglementaire [PF, Article 4.1]

Cadre Multidimensionnel

RGPD - Règlement Général Protection Données UE
HDS - Hébergeur Données Santé (Loi France)
NIS2 - Directive sécurité réseau & information
PGSSI-S - Politique générale sécurité SI santé (ANS)
IA Act - Régulation Intelligence Artificielle UE
Data Act - Accès données et portabilité

Principes de Sécurité by Design [PF, Article 4.2]

Intégration dès phase conception :

Revues sécurité chaque étape
Tests sécu automatisés
MFA/SSO systématique
Chiffrement par défaut (transit + repos)
Segmentation réseaux
Journalisation certifiée
Supervision temps réel

Anticipation Risques Informatique Quantique [PF, Article 4.3]

Cartographie algorithmes sensibles (RSA, ECC, TLS, S/MIME)
Évaluation impacts cryptanalyse quantique
Plan migration cryptographie post-quantique (PQC) aligné ANSSI/NIST
Veille technologique (ETSI, ISO, NIST)
Implémentation chiffrement hybride (classique + PQC)

💻 SECTION 2 : LES 5 BRIQUES TECHNOLOGIQUES

Principes Architecturaux Globaux [PF, Article 3 & Article Préliminaire]

Interopérabilité : Toutes briques intégrées et validées globalité
Flexibilité déploiement : ON-PREMISE ET mode IaaS/PaaS/SaaS
Coexistence Microsoft : Obligatoire (interopérabilité nécessaire)
Continuité métier : Éditeurs métiers associés
Standard minimum : 100% Open Source + tolérance propriétaire pour interop Microsoft uniquement

Brique 1 : Espace de Travail Collaboratif (Modern Workspace) [PF, Article 3.1]

Suite Bureautique

LibreOffice (prioritaire DINUM) : Writer (texte), Calc (tableur), Impress (présentation)
OnlyOffice (alternative) : formats Office compatibles (.docx, .xlsx, .pptx)
WOPI : Web Open Platform Interface pour coédition simultanée multi-utilisateurs

Messagerie & Calendrier [PF, Article 3.1]

Technologie : BlueMind

Gestion Électronique Documents (GED) [PF, Article 3.1]

Technologie : Nextcloud

Visioconférence & Communication Unifiée [PF, Article 3.1]

Visioconférence : Jitsi (plateforme open source)
Chat d'équipe : Mattermost

Contournement Microsoft Word [PF, Article 3.1]

Solution permettant de contourner l'utilisation locale de Microsoft Word par les progiciels métiers (ex: winword.exe pour édition compte-rendu DPI)

Mode Déploiement [PF, Article 3.1]

Obligatoire : ON-PREMISE
Optionnel : SaaS proposé

Brique 2 : Gestion des Identités (ID CAIH) [PF, Article 3.2]

Annuaire Centralisé

Base technologique : LDAP open source
Rôle : Source unique vérité identités

Authentification Forte Fédérée

Protocoles :

SSO (Single Sign-On) : Authentification unique
MFA (Multi-Factor Authentication) : Facteurs multiples
IAM : Gestion accès centralisée

Implémentations : OIDC (OpenID Connect), OAuth 2.0, SAML

Provisioning Identités

Standard : SCIM (System for Cross-domain Identity Management)
Propriétés : Synchronisation bidirectionnelle, auto-provisioning ressources

Interopérabilité Professionnels Santé - OBLIGATOIRE [PF, Article 3.2]

Pro Santé Connect : Plateforme d'accès santé
CPS : Carte de Professionnel Santé
e-CPS : CPS électronique / Hospiconnect
Conformité : Cadres d'interopérabilité ANS et DNS

Mode Déploiement [PF, Article 3.2]

Obligatoire : ON-PREMISE
Optionnel : Extensions hybride/cloud

Brique 3 : Infrastructure Hybride & Virtualisation [PF, Article 3.3]

Hyperviseurs Open Source [PF, Article 3.3]

Technologies ouvertes acceptées :

Proxmox VE
oVirt
KVM
Xen Project
OpenStack

Bases de Données Open Source [PF, Article 3.3]

Relationnelles et objets :

PostgreSQL
MariaDB
MySQL
CouchDB

Orchestration & Automatisation

Orchestration : Kubernetes, containers
Infrastructure as Code : Terraform, Ansible, Helm
Supervision : OpenObserve (logs), ELK (Elasticsearch, Logstash, Kibana), Prometheus (métriques), Grafana (dashboards)

Interopérabilité & Migration [PF, Article 3.3]

Gestion GLPI (Gestion du Parc Informatique)
API REST standardisées
Outillage de migration des environnements virtualisés (VM → Proxmox/KVM/…)

Brique 4 : Gestion du Parc & Postes de Travail [PF, Article 3.4]

Distribution Linux Hospitalière

Base distribuée sécurisée qualifiée
Adaptée contexte hospitalier
Drivers périphériques
Ergonomie proche environnements actuels

Mobile Device Management (MDM)

Gestion flotte desktop/laptop/tablette
Politiques déploiement
Application configuration centralisée

Télédistribution Automatisée

Push applications
Patch management automatique
Rollback capacité

Supervision & Inventaire

Découverte automatique
Métrologie (CPU, RAM, Disk)
Alertes seuils

Brique 5 : Intelligence Artificielle [PF, Article 3.5]

"Le titulaire proposera un service d'intelligence artificielle conversationnelle open source (LLM) opérant dans un environnement souverain et maîtrisé, garantissant la confidentialité des données et la maîtrise des modèles utilisés. Elle est complétée par une fonctionnalité de reconnaissance vocale avec, si possible, une extension dans le domaine médicale. L'objectif est de retenir la distribution Open Source et les composants techniques. Leurs personnalisations seront initialement limitées à l'intégration dans les autres briques."

En résumé : LLM open source souverain + reconnaissance vocale (optionnel médical). Brique complémentaire aux 4 autres, avec personnalisations limitées.

🔧 SECTION 3 : SERVICES & LIVRABLES

Services RUN (Exploitation Quotidienne 24/7) [PF, Article 6 - S3C Services d'exploitation]

Supervision 24/7

Métriques temps réel
Logs centralisés
Traces applicatives
Audit sécurité continu
Plateforme centralisée avec tableaux bord CAIH
Alerting N2/N3 automatisé

Mises à Jour de Sécurité [PF, Article 6 - S3C Services d'exploitation]

Publication mensuelle des correctifs
Urgents : Déploiement prioritaire
Non-urgents : Version consolidée

Mises à Jour Fonctionnelles [PF, Article 6 - S3C Services d'exploitation]

Publication trimestrielle des versions majeures
Intégration nouvelles fonctionnalités open source
Évolutions réglementaires (PGSSI-S, NIS2)

Gestion des Incidents [PF, Article 6 - S3C Services d'exploitation]

Enregistrement centralisé
Diagnostic et réparation
Escalade N2 → N3 si nécessaire
Reportage incidents mensuels

Capacity Planning [PF, Article 6 - S3C Services d'exploitation]

Planification ressources future
Dimensionnement infrastructure
Prévention saturation

Services MCO (Maintien Condition Opérationnelle) [PF, Article 6 - S3D Services MCO]

Correctifs Applicatifs

Continu
Bugs et problèmes fonctionnels
Intégration avec éditeurs métiers

Mises à Jour Périodiques

Trimestrielles
Version consolidée testée complètement
Notes de version complètes
Procédures rollback

Suivi des Vulnérabilités

Gestion automatisée continue
Veille CVE applicables
Évaluation risque
Priorisation correctifs

Reporting Mensuel CAIH [PF, Article 6 - S3D Services MCO]

Incidents survenus
Disponibilité mesurée
Vulnérabilités corrigées
Anomalies tolérées

Roadmap Annuelle [PF, Article 6 - S3D Services MCO]

Validée annuellement par CAIH
Évolutions fonctionnelles proposées
Alignement besoins établissements
Priorisation implémentation

Services Support [PF, Article 6 - S3E Services Support]

Support N2 (Établissements)

Cible : Équipes DSI/support établissements
SLA : ≤ 4 heures ouvrées
Diagnostic premier niveau
Escalade N3 si dépassement compétences

Support N3 (Intégrateurs/AMOE)

Cible : Prestataires AMOA/AMOE
SLA : ≤ 8 heures ouvrées
Expertise technique approfondie
Debugging code
Gestion évolutions

Calendrier d'Intervention [PF, Article 6 - S3E Services Support]

Phase initiale : 5j/7, 8h-24h (lundi-vendredi)
Phase évolutive : 7j/24 optionnel
Décision : Comité pilotage CAIH

Portail & Base de Connaissances [PF, Article 6 - S3E Services Support]

Portail de tickets centralisé
Base de connaissances partagée
Observabilité partagée CAIH

Localisation Équipes [CCAP, Article 6.10.2]

Équipes : Basées dans État(s) Membre(s) UE
Langue : Français courant obligatoire

Services de Sécurité Managés [PF, Article 6 - S3B Services de sécurité]

Identité & Accès

MFA (authentification multi-facteur)
SSO (Single Sign-On fédéré)
Durcissement systèmes

Journalisation Certifiée

Tamponnée (immuable)
Horodatée (précision temporelle)
Explorable (forensic)
Complète (pas de perte)

SIEM (Security Information Event Management)

Fédération événements sécurité multi-sources
Corrélation alertes
Dashboard centralisé

SOC (Security Operations Center)

Optionnel 24/7
Surveillance continue
Réponse incidents réactive

Protection Périmètres

IDS : Détection intrusions réseau
IPS : Prévention intrusions
Anti-DDoS : Mitigation attaques volumétriques
WAF : Firewall applicatif

Gestion Vulnérabilités

Scanning continu
Analyse expositions
Priorisation risques
Plan remédiation

Tests de Pénétration

Tests d'intrusion réguliers
Audit sécurité annuel + continu
Validation correctifs

Réponse Incident

Plan incident documenté
Escalade 24/7
Forensic et investigation

Disponibilité & Continuité [PF, Article 6 - Disponibilité, continuité, réversibilité]

SLA Cible

Disponibilité : ≥ 99,8% mensuel
Mesure : Continue avec rapports mensuels
Calcul : Mensuel

Reprise & Continuité d'Activité

PRA (Plan Reprise Activité) : < 4 heures
PCA (Plan Continuité Activité) : Haute disponibilité multi-zone
Datacenters : Distincts, non corrélés, proximité UE
Latence : Faible, compatible usages cliniques

Réversibilité Complète [PF, Article 6 - Disponibilité, continuité, réversibilité]

Capacités d'export :

Machines virtuelles
Conteneurs
Bases de données
Fichiers
Journaux d'audit
Configurations complètes

À définir au contrat : Format, durée, coûts, procédures

Portabilité Opérateur Alternatif

Sortie garantie sans dépendance
Capacité changement opérateur souverain

Versions LTS (Long Term Support) [PF, Article 8]

Durée minimum : 36 mois par version LTS
Couverture : Correctifs sécurité, conformité réglementaire, anomalies bloquantes
Mises à jour majeures : Soumises à validation CAIH

📦 SECTION 4 : LIVRABLES PAR PHASE

Phase R&D - Séquence 1 (Conception & Développement) [PF, Article 6.1 - Séquence 1]

Livrables S1 :

Architecture cible globale 5 briques
Distributions open source personnalisées
Plan Assurance Sécurité (PAS) initial
Kits migration (technique & organisationnelle)
Kits formation IT & utilisateurs
Premiers ISO/OVA reproductibles
Spécifications fonctionnelles détaillées
Trajectoires de migration initiales

Phase R&D - Séquence 2 (Prototypage & Expérimentation) [PF, Article 6.1 - Séquence 2]

Hackathons prévus :

Hackathon "Usages" et POC fonctionnels
Hackathon "Technologies" et POC techniques
Hackathon "Modélisation financière et plan de généralisation pilote"

Livrables S2 :

S2L1 : Livrables techniques (prototypes, rapports performance)
S2L2 : Livrables fonctionnels (retours POC/pilotes)
S2L3 : Livrables économiques (modèle TCO/ROI)
S2L4 : Livrables organisationnels
S2L5 : Dossier synthèse validation

Phase R&D - Séquence 3 (Pré-Industrialisation) [PF, Article 6.1 - Séquence 3]

Axes de travail :

Intégration & industrialisation technique
Transfert opérationnel & kits AMOA/AMOE
Service MCO & Support mutualisé

Livrables S3 - Services :

S3A : Services d'hébergement & infrastructure (IaaS/PaaS/SaaS)
S3B : Services de sécurité managés (SIEM, SOC optionnel, tests pénétration)
S3C : Services d'exploitation (RUN 24/7, supervision, mises à jour)
S3D : Services MCO (maintenance, vulnérabilités, roadmap)
S3E : Services Support (N2/N3, SLA 4h/8h)
S3F : Services d'accompagnement (AMOA/AMOE, migration, formation)

Livrables S3 - Techniques :

Kits déploiement reproductibles
Scripts automatisation (Ansible/Terraform/Helm)
Images reproductibles (ISO/OVA/containers)
Catalogue services MCO complet
Rapport audit RGPD/HDS/NIS2
Kits AMOA/AMOE complets
Modèles contrats
Bordereau de prix unitaire final

Phase Acquisition (5 ans + 2 reconductions 1-2 ans) [PF, Article 6.2]

Livrables Opérationnels :

Contrat acquisition/exploitation
Catalogue services complet (S3A à S3F)
Environnements hébergés supervisés
Guides intégration SI (APIs, FHIR, SCIM, WOPI)
Rapports mensuels (incidents, dispo, perf, vulnérabilités)
Support continu N2/N3
Rapport annuel de soutenabilité (coûts réels, économies, vision 3-5 ans)

📚 SECTION 5 : ACCOMPAGNEMENT & RESSOURCES

Prestations de Conseil [PF, Article 5 & Article 7]

AMOA (Assistance à Maîtrise d'Ouvrage) [PF, Article 5]

Rôle : Représentant établissements utilisateurs Responsabilités :

Validation besoins fonctionnels
Validation livrables conformité
Gestion changement utilisateurs
Formation utilisateurs finaux

AMOE (Assistance à Maîtrise d'Œuvre) [PF, Article 5]

Rôle : Expertise technique exécution Responsabilités :

Validation architecture technique
Support déploiement infrastructure
Tests techniques (performance, sécurité)
Troubleshooting exploitation

Audits SI [PF, Article 5]

Domaines :

Audit interopérabilité systèmes existants
Audit sécurité conformité HDS/NIS2
Architecture migration

Audit Sécurité & Conformité [PF, Article 5]

Audit sécurité code
Audit infrastructure
Test pénétration

Conduite du Changement [PF, Article 5]

Guides de Transition Organisationnelle

Contenus :

Guide pour DSI (Direction Systèmes d'Information)
Guide pour RSI (Responsable SI)
Guide pour RSSI (Responsable Sécurité SI)

Éléments :

Phases migration
Risques identifiés
Plans contingence

Analyse Impacts Métiers

Identification :

Impacts ergonomie
Impacts processus métiers
Formation requise par rôle

Communication Interne

Modèles :

Modèles newsletters
Communiqués direction
FAQ utilisateurs

Timing : Avant, pendant, après migration

Coaching DSI/RSSI

Sujets :

Gouvernance solution OSS
Gestion sécurité spécifique OSS
Opération exploitation 24/7

Programme d'Accompagnement des Éditeurs Métiers [CCAP, Article 6.10.6]

Le Titulaire met en place un programme structuré d'accompagnement des éditeurs de logiciels métiers pour favoriser la migration vers des socles ouverts, interopérables, sécurisés et durables :

Sessions techniques et fonctionnelles (ateliers, webinaires, formations)
Documentation complète (guides migration, référentiels interopérabilité)
SDK, API et exemples de code facilitant l'intégration
Participation groupe "Open Source Éditeurs UNIHA–CAIH"

Formation Complète [PF, Article 5]

Kits de Formation IT [PF, Article 5 - L5.1]

Objectif : Former et accompagner au changement les équipes IT des établissements Livrables : Kits de formation IT

Kits de Formation Utilisateurs [PF, Article 5 - L5.2]

Objectif : Former les utilisateurs finaux aux briques fonctionnelles Livrables : Kits de formation utilisateurs

Profils Clés à Recruter [PF, Article 7 - Prestations intellectuelles]

Catégorie A - Infrastructure & Hébergement Souverain

A1.1 : DevOps / Build Infrastructure (Junior à Expert)
A1.2 : Administrateur Système Souverain (Junior à Senior)
A1.3 : Ingénieur Hébergement HDS/SecNumCloud (Confirmé à Expert)
A1.4 : Architecte Infrastructure (Senior à Expert)

Catégorie B - Identité (ID CAIH / IAM)

B1 : Développeur IAM (Junior à Expert)
B2 : Intégrateur IAM (Confirmé à Senior)
B3 : Architecte IAM (Senior à Expert)

Catégorie C - Modern Workspace

C1 : Développeur MW (Junior à Senior)
C2 : Intégrateur MW (Junior à Senior)
C3 : Expert MW (Expert)

Catégorie D - Virtualisation / Cloud

D1 : Spécialiste Virtualisation (Junior à Senior)
D2 : Développeur Cloud Automatisation (Junior à Expert)
D3 : Architecte Cloud (Senior à Expert)

Catégorie E - Interopérabilité / Migration / Déploiement

E1 : Ingénieur Interopérabilité API/FHIR/SCIM (Junior à Senior)
E2 : Ingénieur Migration & Déploiement (Junior à Senior)
E3 : Expert AMOA / Conduite Changement (Senior à Expert)

Catégorie F - Cybersécurité / SOC

F1 : Analyste SOC / Sécurité Opérationnelle (Junior à Senior)
F2 : Ingénieur Cybersécurité (Confirmé à Expert)
F3 : Architecte Sécurité (Senior à Expert)

📝 SECTION 6 : CANDIDATURE & SÉLECTION

Critères de Sélection des Candidatures [RC, Article 6.1.3]

Critère	Pondération	Éléments évalués
C1 - Capacités financières	10%	CA global + CA Open Source (3 derniers exercices)
C2 - Capacités techniques	20%	Effectifs, encadrement, profils (dev, intégration, support N2/N3, agile)
C3 - Capacités professionnelles	70%	Références Open Source, R&D, solutions innovantes, contributions à projets OS tiers

3 candidats maximum seront sélectionnés pour la phase offre (si nombre suffisant)

Critères de Jugement des Offres [RC, Article 6.3]

Critère	Pondération	Description
Critère financier	30%	Prix global de l'offre
T1 - Cohérence, adéquation, robustesse	15%	Architecture, choix OS, sécurité, souveraineté, interopérabilité, continuité
T2 - Méthodologie opérationnelle	15%	Phases R&D et acquisition, livrables, jalons, admission, gestion risques
T3 - Maîtrise cycles développement OS	15%	Gouvernance contributions, versions, CI/CD, sécurité by design, pérennité
T4 - Généralisation et financements	10%	Appropriation adhérents CAIH, appui financements publics, intérêt général
T5 - Support, MCO, exploitation	10%	Organisation support, supervision, continuité activité, maintenance briques OS
T6 - Approche RSE	5%	Sobriété numérique, contribution écosystème OS, impact social/territorial

Exigences de Candidature [Annexe 1 RC - Trame de Réponse]

Références Significatives (Maximum 4)

Nombre : Maximum 4 références
Format : 1 page A4 recto-verso par référence
Période : Initiées ou mises en production sur les 4 dernières années

Informations Requises par Référence

Critère	Description
Date de mise en service	Date de déploiement
Société Cliente	Nom et adresse
Secteur d'activité	Domaine et produits manipulés
Nature du projet	Ampleur et périmètre
Exigences réglementaires	Normes mises en œuvre
Chef de projet	CV, temps dédié, outils utilisés
Planning	Étude → Développement → Mise en place → Production
Coût	Solution "clef en mains"
Maintenance	Type de contrat, niveau d'internalisation, fiabilité
Contact client	Nom, fonction, téléphone, email

Briques Concernées (à préciser par référence)

Brique Collaboration & Bureautique - Modern Workspace
Brique ID CAIH - Identités et Sécurité (IAM/SSO/MFA)
Brique Serveurs & Infrastructures - Virtualisation, Cloud
Brique Parc & Postes de travail - Gestion des endpoints
Interopérabilité - Microsoft / Pro Santé Connect / DINUM

Effectifs et Contributions Open Source [Annexe 1 RC]

À fournir pour les 3 dernières années (2023, 2024, 2025) :

Société	Effectifs Totaux	Développeurs OS	Effectifs R&D	Contributions communautaires OS
Mandataire
Membre 2
...

Contributions communautaires : Détailler les publications aux projets Open Source (commits, PRs, documentation, etc.)

Équipement Technique et Organisationnel

Description des moyens pour assurer :

La qualité des prestations
Les moyens d'étude disponibles
Les moyens de recherche de l'entreprise

📄 SECTION 6bis : LIVRABLES OFFRE INITIALE [RC, Annexe 2]

Cette section détaille les livrables attendus lors de l'Étape 2 - Offre Initiale (après sélection des 3 candidats)

Cadre de Réponse Technique Imposé [RC, Annexe 1]

Le mémoire technique doit impérativement respecter la structure suivante :

Chapitre	Intitulé	Critère RC
1	Cohérence, adéquation et robustesse de la solution	T1 (15%)
2	Méthodologie opérationnelle du partenariat d'innovation	T2 (15%)
3	Maîtrise des cycles de développement Open Source	T3 (15%)
4	Généralisation, promotion et financements publics	T4 (10%)
5	Support, MCO et exploitation en environnement hospitalier	T5 (10%)
6	Approche RSE appliquée au projet	T6 (5%)

Liste des Livrables Offre Initiale [RC, Annexe 3]

Livrables Techniques

Réf	Livrable	Contenu
L3	Mémoire technique général	Compréhension enjeux, vision stratégique OS, adéquation objectifs
L4	Architecture cible Open Source	Architecture fonctionnelle/technique, briques OS, interopérabilité SI hospitaliers
L5	Note hébergement souverain	Modèle hébergement, localisation UE, conformité HDS, garanties SecNumCloud
L6	Note PCA/PRA	Continuité activité, scénarios défaillance, diversification techno, RTO/RPO

Livrables Sécurité & Conformité

Réf	Livrable	Contenu
L7	Plan Assurance Sécurité (PAS)	Gouvernance sécurité, analyse risques, mesures protection, alignement RGPD/HDS/NIS2
L8	Note conformité réglementaire	Conformité RGPD, HDS, exigences sécurité établissements santé
L9	Stratégie cryptographique post-quantique	Enjeux PQC, orientations, trajectoire migration, alignement ANSSI/NIST

Livrables Méthodologiques

Réf	Livrable	Contenu
L10	Méthodologie conduite phase R&D	Découpage séquences, livrables par séquence, indicateurs validation
L11	Organisation projet & gouvernance	Organisation candidat/groupement, rôles, gouvernance PI
L12	Plan accompagnement, formation, réversibilité	Acculturation OS, formation IT hospitalières, transfert compétences

Livrables Économiques

Réf	Livrable	Contenu
L13	Modèle économique du partenariat	Hypothèses économiques, soutenabilité, trajectoire généralisation
L14	Projection TCO et comparaison	Coût total possession, comparaison solutions propriétaires, leviers optimisation

Annexes

Réf	Livrable	Contenu
L15	Références techniques	Projets OS comparables, déploiements à l'échelle, environnements critiques/souverains
L16	Certificats et attestations	Certification HDS (obligatoire), SecNumCloud 3.2 (si détenu), assurance professionnelle

💰 SECTION 7 : CONDITIONS FINANCIÈRES

Structure des Prix [CCAP, Article 9]

Phase R&D

Type : Prix forfaitaires fermes
Évolution : Non révisables
Modification maximale : +15% par avenant justifié [CCAP, Article 12.5]

Phase Acquisition

Type : Prix unitaires révisables
Promotions : Possibles sur initiative du Titulaire
Révision : Annuelle à la date anniversaire

Formules de Révision des Prix [CCAP, Article 9.2]

Prestations NTIC (TJM)

Indice : SYNTEC

Pn = P0 × (0,20 + 0,80 × Sn/S0)

P0 : prix initial
Pn : prix année n
S0 : indice SYNTEC mois notification
Sn : indice SYNTEC mois anniversaire année n
20% : part fixe non révisable
80% : part indexée

Hébergement HDS

Indices : SYNTEC + INSEE (électricité + services)

Pn = P0 × (0,20 + 0,40 × Sn/S0 + 0,20 × En/E0 + 0,20 × In/I0)

S : indice SYNTEC
E : indice INSEE électricité
I : indice INSEE services informatiques

Clause de Sauvegarde [CCAP, Article 9.3]

Augmentation > 5% par rapport au dernier prix applicable → Résiliation possible sans indemnité

Modalités de Paiement [CCAP, Article 10]

Délai de paiement : 50 jours à compter de réception facture
Acomptes : Possibles selon R2191-20 à R2191-22 CCP
Avance : 5% du montant phase (R&D et Acquisition)
Retenue de garantie : 5% prélevée sur chaque acompte
Facturation : Obligatoirement via CHORUS PRO

⚠️ SECTION 8 : PÉNALITÉS [CCAP, Article 11]

Pénalités Phase R&D

Retard séquence : 0,3% du montant HT séquence par jour ouvré de retard
Non-conformité livrable : 1% du montant séquence par semaine
Plafond : 20% du montant HT total phase R&D

Pénalités Phase Acquisition

Retard prestation : 1% du montant HT prestation par semaine ouvrée
Refus/Non-admission : 2% du montant HT prestation
Plafond : 20% du montant maximum HT accord-cadre

Pénalités SLA Support

Dépassement accusé réception : 50€ par ticket
Dépassement prise en charge :
- Sévérité 1 (bloquant) : 150€
- Sévérité 2 : 75€
- Sévérité 3 : 30€
Dépassement résolution :
- Sévérité 1 : 300€/heure
- Sévérité 2 : 150€/heure
- Sévérité 3 : 50€/heure

Pénalités Indisponibilité Service

Disponibilité mensuelle	Pénalité
< 99,5%	-2% forfait mensuel
< 99%	-5% forfait mensuel
< 98%	-10% forfait mensuel
< 96%	-20% forfait mensuel

Pénalités Sécurité

Non-respect obligations sécurité : 2% du montant annuel support par violation substantielle
Défaillance supervision/alertes : 0,5% forfait mensuel hébergement par heure d'indisponibilité (plafond 10%/mois)

🔎 SECTION 9 : RECHERCHE DE SUBVENTIONS [CCAP, Article 6.11]

Le Titulaire contribue à la recherche de subventions et cofinancements auprès de :

EDIC Digital Commons (European Digital Infrastructure Consortium)
DINUM (modernisation action publique, innovation numérique)
ANS (interopérabilité, identité numérique, cybersécurité)
France 2030 / Innovation Santé / Investissements d'Avenir
Programmes européens : Horizon Europe, Digital Europe, Interreg

Livrables : Veille active + plan de financement actualisé à chaque phase

🏛️ SECTION 10 : GOUVERNANCE & PILOTAGE [CCAP, Article 6.10.4]

Pilotage Agile Trimestriel

Le suivi du partenariat est organisé en sprints trimestriels (3 mois), conformément aux principes de la méthodologie agile.

Chaque Sprint comprend :

Revue de sprint en comité technique (CAIH + établissements pilotes + industriels + éditeurs)
Mise à jour des indicateurs de performance, de conformité et d'usage
Ajustement du backlog (priorités fonctionnelles, sécurité, ergonomie, interopérabilité, R&D)

Indicateurs par Domaine [CCAP, Article 6.10.4]

Domaine	Type d'indicateur	Exemples
Technique	Performance, interopérabilité, disponibilité	Taux de réussite tests, compatibilité, uptime %
Sécurité	Conformité RGPD/HDS/NIS2, vulnérabilités	Nb non-conformités, délai correction, audits
Fonctionnel	Usage, ergonomie, adoption	Taux utilisateurs actifs, satisfaction (note /5)
Économique	Coûts / gains / TCO	Ratio coût évité vs objectif, part OSS
R&D / Innovation	Nouvelles fonctionnalités, modularité	Nb contributions OS, brevets, modules
Financement	Subventions et cofinancements	Montant mobilisé, taux de couverture R&D

Capitalisation & Retours d'Expérience [CCAP, Article 6.10.5]

Registre Central REX

Registre des retours d'expérience accessible à CAIH, établissements pilotes et partenaires industriels
Ateliers de capitalisation trimestriels
Intégration systématique dans les comités techniques et stratégiques

Livrables Capitalisation

Tableau de suivi des REX et indicateurs
Rapport annuel de capitalisation (diffusé CAIH, DINUM, ANS, ANSSI)
Bonnes pratiques "Open Source Santé" mutualisées

Délais Clés Gouvernance

Événement	Délai
Admission livrable	30 jours après livraison (CCAP Art. 6.9.1)
Mise en demeure	Si non-décision dans 30 jours
Admission tacite	30 jours supplémentaires après mise en demeure
Notification violation données	24h maximum (CCAP Annexe 3)
Remplacement co-traitant	30 jours pour proposer alternative (CCAP Art. 12.4)

Contact RGPD

DPO CAIH : dpo@caih.fr
Notifications : dpo@caih.org

Procédure de Négociation [RC, Art. 6.3]

Nombre de phases : 2 à 3 phases de négociation (indicatif)
Rejet possible : Après chaque phase, offres peuvent être rejetées après classement intermédiaire
Offre finale : Invitation à remettre offre finale après conclusion des négociations
Éléments non-négociables : Exigences minimales (Article préliminaire PF) et critères d'attribution

Confidentialité [RC, Art. 8.3]

✅ CAIH s'engage à garder strictement confidentielles toutes informations partagées par les candidats
✅ Candidats s'engagent à ne pas divulguer informations mises à disposition par CAIH
✅ Exception : droit au recours effectif et production en justice

Tribunal Compétent [RC, Art. 8.4]

Juridiction : Tribunal Administratif de Lyon
Adresse : 184 Rue Duguesclin, 69433 Lyon Cedex 03
Contact : 04 78 14 10 10 | greffe.ta-lyon@juradm.fr

🎯 SECTION 11 : STRUCTURE DE RÉPONSE

Co-Traitance Autorisée [RC, Art. 3.3 & CCAP, Art. 3.2]

✅ Groupement d'opérateurs économiques possible
✅ Mandataire unique + cotraitants
✅ Mandataire solidaire du/des autre(s) membre(s) en cas de groupement conjoint
✅ Chaque membre respecte critères souveraineté
✅ Remplacement cotraitant possible sous conditions (délai 30 jours)

Règles de Candidatures Multiples [RC, Art. 3.3]

✅ Un opérateur peut être candidat individuel ET membre de groupement(s)
✅ Un opérateur peut être membre de plusieurs groupements
⚠️ Un opérateur ne peut être mandataire que d'un seul groupement

Modification de Composition en Cours de Consultation [RC, Art. 3.3]

Autorisée dans les cas suivants :

Restructuration d'un membre
Impossibilité d'accomplir sa tâche (raisons extérieures)
Remplacement exigé par l'acheteur (motif d'exclusion) - délai 10 jours
Constitution/modification de groupement à partir de candidats existants (sous réserve maintien garanties)

Architecture Recommandée

GROUPEMENT DE CO-TRAITANCE (UNE SEULE CANDIDATURE)
│
├─ MANDATAIRE (Leader administratif)
│  └─ Intégrateur open source expérimenté
│
├─ + COTRAITANT 1 : Infrastructure/Hébergement
│  └─ Certifié HDS/SecNumCloud
│
├─ + COTRAITANT 2 : Développement Logiciel
│  └─ Experts OSS briques (Workspace, ID, Infra)
│
├─ + COTRAITANT 3 : Accompagnement
│  └─ Conduite changement hospitalière
│
└─ + COTRAITANT 4 : Support
   └─ Support N2/N3

GROUPEMENT D'OPÉRATEURS ÉCONOMIQUES

Neutralité Commerciale du Titulaire [CCAP, Article 6.10.7.1.D]

Dans toutes ses actions de promotion, le Titulaire :

Respecte le principe de neutralité commerciale
N'exerce aucune pression sur les établissements
Favorise la libre concurrence entre prestataires
S'engage à ne pas revendiquer d'exclusivité sur les services associés

Les actions sont menées sous pilotage de la CAIH, qui valide messages, supports, engagements et formats.

📌 POINTS CRITIQUES À RETENIR

Critère	Exigence	Source
HDS	Obligatoire (non-négociable)	[PF, Préambule]
Localisation	Union Européenne exclusivement	[PF, Article Préliminaire]
Capital non-UE	Max 24% individuel, 39% collectif	[PF, Article Préliminaire]
Open Source	100% minimum (tolérance interop Microsoft)	[PF, Article Préliminaire]
SLA	99,8% mensuel	[PF, Article 6]
PRA	< 4 heures	[PF, Article 6]
Support N2	≤ 4h ouvrées	[PF, Article 6]
Support N3	≤ 8h ouvrées	[PF, Article 6]
Équipes	UE + francophones obligatoires	[CCAP, Article 6.10.2]
LTS	36 mois minimum	[PF, Article 8]
Codes sources	Remis à CAIH + licences libres	[CCAP, Article 6.13]
R&D durée	12 mois max cumulés	[CCAP, Article 3.5]
R&D modification	Max +15% par avenant	[CCAP, Article 12.5]
Références	Max 4, A4 recto-verso, 4 dernières années	[Annexe 1 RC]
Délai paiement	50 jours	[CCAP, Article 10.3]
Délai admission	30 jours	[CCAP, Article 6.9.1]
Remplacement co-traitant	30 jours	[CCAP, Article 12.4]
Notification violation	24h	[CCAP, Annexe 3]
DEADLINE CANDIDATURE	19 février 2026, 12h30	[RC]

🚀 PROCHAINES ÉTAPES

Plateforme de Dépôt [RC, Art. 5.1 & Art. 7]

🌐 PLACE : https://www.marches-publics.gouv.fr

Élément	Détail
Mode de dépôt	Exclusivement via profil acheteur PLACE
Communication	Dématérialisée obligatoire
Identification	Recommandée pour suivi automatique des modifications DCE
Format fichiers	Libellés courts (< 30 caractères), nommage : `26_01_DC_[type]_[NomFournisseur]`
Copie sauvegarde	Possible (support papier/physique ou électronique) avec mention "Copie de sauvegarde"

Phase Candidature (Priorité absolue)

✅ Comprendre les 5 briques fonctionnelles [PF, Article 3]
⏳ Préparer max 4 références (1 page A4 recto-verso chacune)
⏳ Couvrir les briques : Workspace, ID CAIH, Infrastructure, Parc & Postes
⏳ Préparer tableau effectifs & contributions OS (2023-2025)
⏳ Vérifier capacités internes sur les 5 briques
⏳ Identifier partenaires cotraitance (HDS obligatoire)
⏳ Valider conformité souveraineté (HDS, capital UE, localisation UE)
⏳ Préparer convention groupement
⏳ Préparer déclaration sur l'honneur (articles L.2141-1 à L.2141-11 CCP)
⏳ Joindre certification HDS + SecNumCloud 3.2 (optionnel)
⏳ DÉPOSER SUR PLACE AVANT 19 février 2026, 12h30

Phase Offre (si retenu parmi les 3 candidats - ~10 mars 2026)

⏳ Recevoir invitation à soumissionner
⏳ Préparer livrables L3 à L16 (voir Section 6bis)
⏳ Rédiger mémoire technique (6 chapitres imposés)
⏳ Participer aux négociations (2-3 phases)
⏳ Remettre offre finale

Phase R&D (si attributaire)

⏳ Développer prototypes 5 briques
⏳ POC & pilotes dans 13 établissements
⏳ Industrialisation & pré-production
⏳ Catalogue services MCO/Support complet

Document complet créé : 15 janvier 2026
Mise à jour majeure : 3 février 2026 (Enrichissement complet avec RC v20260130 - livrables offre, négociation, groupements)
Structure : Cohérente avec RESUME_SHORT.md
Sources : Programme Fonctionnel v20251222, CCAP v1.0, RC v20260130, Annexe 1 RC, Liste Établissements

Légende :

[PF] = Programme Fonctionnel
[CCAP] = Cahier Clauses Administratives Particulières
[RC] = Règlement de Consultation v20260130
[Annexe 1 RC] = Trame de Réponse Candidature
[BOAMP] = Bulletin Officiel Annonces Marchés Publics

📄 RESUME LONG