📋 Résumé Court - Appel d'Offre CAIH

Partenariat d'Innovation "Alternative Open Source"

Référence Consultation : E26-01 | Procédure avec négociation

🎯 CONTEXTE & ENJEUX [RC, Préambule]

Les établissements de santé dépendent aujourd'hui d'environnements propriétaires qui génèrent :

💸 Coûts insoutenables d'exploitation annuelle
🔗 Dépendance structurelle à des technologies étrangères non maîtrisées
🔒 Verrouillage technologique et perte de souveraineté sur les données
⚡ Faible interopérabilité avec les initiatives open source nationales/européennes

Solution recherchée : Suite logicielle open source souveraine couvrant environnement de travail, identité numérique, virtualisation et infrastructure hospitalière.

⏰ INFORMATIONS CRITIQUES

Élément	Détail
Commanditaire	CAIH (Centrale d'Achat de l'Informatique Hospitalière)
Type marché	Partenariat d'Innovation, Accord-cadre composite
Procédure	Procédure avec négociation (L2124-3, R2124-3-4°, R2161-12 CCP)
Montant maximum	250 M€ HT (toutes phases incluses)
DEADLINE CANDIDATURE	19 février 2026 à 12h30
Durée R&D	12 mois max cumulés (3 séquences)
Durée Acquisition	5 ans ferme + 2 reconductions (1-2 ans chacune)
Durée totale	7-9 ans
Non-Allotissement	Marché unique (co-traitance autorisée)
Groupement	13 établissements + CAIH
Codes CPV	72262000-9 (dev logiciel), 72415000-2 (hébergement), 72000000-5 (services TI)

Objectif Stratégique

Migrer 100 000+ postes (250 000+ utilisateurs) vers l'Open Source d'ici 2030

Aspects Différenciants du Modèle ALTERNATIVE [RC, Art. 2.1]

🎫 Guichet unique de support et maintenance
📐 Standard "Open Source en santé" permettant aux éditeurs métiers de migrer depuis technologies monopolistiques
🛡️ Protection données contre lois étrangères d'application extraterritoriale

Calendrier Prévisionnel [RC]

Étape	Date
Retour candidatures	19 février 2026, 12h30
Sélection 3 candidats	10 mars 2026
Demande offres initiales	Mi-mars 2026
Date limite offres initiales	Mi-avril 2026

Prime Candidats [RC Art. 3.1.7]

20 000€ TTC pour les candidats ayant participé à toutes les phases et remis une offre finale recevable
Déduite des premiers paiements pour l'attributaire

🔒 SECTION 1 : SOUVERAINETÉ & DONNÉES

Données de Santé - Risque Élevé

Type : Catégories particulières (Article 9 RGPD)
Définition : Informations relatives à l'état de santé physique ou mentale (Article 4 §15 RGPD)
Protection : Renforcée obligatoire
Enjeu : Risque ÉLEVÉ pour droits/libertés

Exigences Non-Négociables de Souveraineté

✅ HDS Obligatoire : Certification Hébergeur Données Santé (Article L.1111-8 CSP)
✅ Localisation UE : Datacenter exclusivement Union Européenne
✅ Administration UE : 100% depuis État membre UE
✅ Aucun transfert hors UE : Interdit
✅ Capital non-UE : Max 24% individuel, Max 39% collectif
✅ Pas de droit de véto non-UE
✅ SecNumCloud 3.2 : Recommandée (non obligatoire)

Conformité Réglementaire

✅ RGPD : Gestion données personnelles/santé
✅ HDS : Hébergement sécurisé
✅ NIS2 : Directive sécurité réseau
✅ PGSSI-S : Politique sécurité SI santé (ANS)
✅ IA Act : Régulation IA
✅ Data Act : Portabilité données
✅ Post-quantique : Plan migration cryptographique (PQC)

💻 SECTION 2 : LES 5 BRIQUES TECHNOLOGIQUES

Brique 1 : Espace de Travail Collaboratif (Modern Workspace)

Bureau : LibreOffice (Writer, Calc, Impress) + OnlyOffice
Messagerie : BlueMind
GED : Nextcloud
Visio : Jitsi
Chat : Mattermost
Coédition : WOPI (Web Open Platform Interface)
Mode : On-Premise obligatoire, SaaS optionnel

Brique 2 : Gestion des Identités (ID CAIH)

Annuaire : LDAP open source centralisé
Auth : SSO, MFA, IAM (OIDC, OAuth2, SAML)
Provisioning : SCIM (synchronisation auto)
Santé : Pro Santé Connect, CPS, e-CPS OBLIGATOIRES
Mode : On-Premise obligatoire

Brique 3 : Infrastructure Hybride & Virtualisation

Hyperviseurs : Proxmox, oVirt, KVM, Xen, OpenStack
BDD : PostgreSQL, MariaDB, MySQL, CouchDB
Orchestration : Kubernetes, containers
Automatisation : Terraform, Ansible, GLPI
Supervision : OpenObserve, ELK, Prometheus, Grafana

Brique 4 : Gestion du Parc & Postes de Travail

OS : Distribution Linux sécurisée adaptée au contexte hospitalier
MDM : Gestion de parc, télédistribution
Supervision : Métrologie, inventaire
Ergonomie : Proche des environnements actuels

Brique 5 : Intelligence Artificielle

LLM : Open source souverain (intégration briques existantes)
Reconnaissance vocale : Extension médicale si possible
Personnalisations : Initialement limitées à l'intégration

🔧 SECTION 3 : SERVICES & LIVRABLES

Services RUN (Exploitation 24/7)

Supervision : 24/7 temps réel, métriques, logs, traces
Mises à jour sécurité : Publication mensuelle
Mises à jour fonctionnelles : Publication trimestrielle
Incidents : Enregistrement centralisé + escalade
Capacity planning : Prévention saturation

Services MCO (Maintien Condition Opérationnelle)

Correctifs : Continu (bugs, fonctionnels)
Mises à jour : Trimestrielles testées + notes de version
Vulnérabilités : Suivi automatisé continu (CVE)
Reporting : Mensuel CAIH (incidents, dispo, vulnérabilités)
Roadmap : Annuelle validée CAIH

Services Support

Support N2 (Établissements) : SLA ≤ 4h ouvrées
Support N3 (Intégrateurs/AMOE) : SLA ≤ 8h ouvrées
Calendrier initial : 5j/7 8h-24h
Calendrier évolutif : 7j/24 optionnel (décision comité pilotage)
Portail : Tickets & base de connaissances
Équipes : Basées UE, francophones obligatoire

Services Sécurité

Identité & Accès : MFA, SSO, durcissement
Journalisation : Certifiée (tamponnée, horodatée, forensic)
SIEM : Fédération événements sécurité
SOC : Optionnel 24/7
Protection : IDS, IPS, Anti-DDoS, WAF
Vulnérabilités : Scanning continu + pen-testing
Incidents : Plan documenté, escalade 24/7

Disponibilité & Continuité

SLA : ≥ 99,8% mensuel
PRA : < 4 heures
PCA : Haute disponibilité multi-zone
Réversibilité : Export VM, BDD, fichiers, journaux, configs
LTS : Minimum 36 mois de support par version

📦 SECTION 4 : LIVRABLES PAR PHASE

Phase R&D - Séquence 1 (Conception & Développement)

Architecture cible 5 briques
Distributions personnalisées
Plan Assurance Sécurité (PAS) initial
Kits migration & formation
Premiers ISO/OVA

Phase R&D - Séquence 2 (Prototypage & Expérimentation)

Prototypes techniques consolidés
Rapports performance
Retours POC/pilotes
Modèle financier TCO/ROI
Dossier synthèse S2L1-S2L5
Hackathons (Usages, Technologies, Modélisation financière)

Phase R&D - Séquence 3 (Pré-Industrialisation)

Services S3A : Hébergement & infra
Services S3B : Sécurité managée
Services S3C : Exploitation (RUN)
Services S3D : MCO
Services S3E : Support
Services S3F : Accompagnement
Kits AMOA/AMOE
Audit RGPD/HDS/NIS2

Phase Acquisition (5 ans + reconductions)

Contrat acquisition/exploitation
Catalogue services complet
Environnements hébergés
Guides intégration SI
Rapports mensuels

📝 SECTION 5 : CANDIDATURE

Critères de Sélection des Candidatures [RC Art. 6.1.3]

Critère	Pondération
C1 - Capacités financières (CA global + CA Open Source)	10%
C2 - Capacités techniques (effectifs, encadrement, profils)	20%
C3 - Capacités professionnelles (références, contributions OS)	70%

3 candidats maximum seront sélectionnés pour la phase offre

Critères de Jugement des Offres [RC Art. 6.3]

Critère	Pondération
Critère financier	30%
Cohérence, adéquation, robustesse solution	15%
Méthodologie opérationnelle (R&D + acquisition)	15%
Maîtrise cycles développement Open Source	15%
Généralisation, promotion, financements publics	10%
Support, MCO, exploitation	10%
Approche RSE	5%

Références Exigées (Annexe 1 RC)

Nombre : Maximum 4 références
Format : 1 page A4 recto-verso par référence
Période : Initiées ou mises en production sur les 4 dernières années
Briques à couvrir : Workspace, ID CAIH, Infrastructure, Parc & Postes

Informations par Référence

Date de mise en service
Société cliente (nom, adresse)
Secteur d'activité
Nature et ampleur du projet
Exigences réglementaires mises en œuvre
Chef de projet (CV, temps dédié)
Planning et coût
Contact client

Effectifs & Contributions Open Source

À fournir pour les 3 dernières années (2023, 2024, 2025)
Effectifs totaux
Développeurs Open Source
Effectifs R&D (objet du marché)
Contributions communautaires OS (commits, PRs, documentation)

💰 SECTION 6 : CONDITIONS FINANCIÈRES

Structure des Prix

Phase	Type	Révision
R&D	Prix forfaitaires fermes	Non révisables
Acquisition	Prix unitaires révisables	Annuelle (SYNTEC)

Modalités de Paiement

Délai : 50 jours à compter de réception facture
Avance : 5% du montant phase
Retenue garantie : 5% prélevée sur chaque acompte
Facturation : CHORUS PRO obligatoire

Clause de Sauvegarde

Augmentation > 5% → Résiliation possible sans indemnité

Modification R&D

Maximum : +15% des prix forfaitaires R&D (par avenant justifié)

⚠️ SECTION 7 : PÉNALITÉS

Phase R&D

Retard séquence : 0,3% HT séquence / jour ouvré
Non-conformité livrable : 1% HT séquence / semaine
Plafond : 20% du montant total R&D

Phase Acquisition

Retard prestation : 1% HT / semaine ouvrée
Refus/Non-admission : 2% HT prestation
Plafond : 20% du montant maximum accord-cadre

Support & SLA

Accusé réception dépassé : 50€ / ticket
Prise en charge dépassée : 150€ (sév.1), 75€ (sév.2), 30€ (sév.3)
Résolution dépassée : 300€/h (sév.1), 150€/h (sév.2), 50€/h (sév.3)

Indisponibilité Service

Disponibilité mensuelle	Pénalité
< 99,5%	-2% forfait
< 99%	-5% forfait
< 98%	-10% forfait
< 96%	-20% forfait

🎯 SECTION 8 : STRUCTURE DE RÉPONSE

Co-Traitance Autorisée [RC, Art. 3.3 & CCAP, Art. 3.2]

✅ Groupement d'opérateurs économiques possible
✅ Mandataire unique + cotraitants (mandataire solidaire si groupement conjoint)
✅ Chaque membre respecte critères souveraineté
✅ Remplacement co-traitant : délai 30 jours pour proposer alternative
✅ Candidatures multiples autorisées : individuel ET membre de groupement(s)
✅ Modification composition possible en cours de consultation (restructuration, remplacement exigé, etc.)

Architecture Recommandée

Mandataire (Leader)
├─ Intégrateur open source
├─ + Cotraitant 1 : Infrastructure/Hébergement (HDS)
├─ + Cotraitant 2 : Développement (OSS briques)
├─ + Cotraitant 3 : Accompagnement (Conduite changement)
└─ + Cotraitant 4 : Support (N2/N3)

Neutralité Commerciale

Le titulaire s'engage à :

Respecter le principe de neutralité commerciale
N'exercer aucune pression sur les établissements
Favoriser la libre concurrence entre prestataires
Ne pas revendiquer d'exclusivité sur les services associés

🏛️ SECTION 9 : GOUVERNANCE

Pilotage Agile Trimestriel

Sprints : Trimestriels (3 mois)
Revue de sprint : Comité technique (CAIH + pilotes + industriels + éditeurs)
Indicateurs : Performance, sécurité, usage, TCO, conformité, contributions OS
Registre REX : Retours d'expérience centralisés

Délais Clés

Admission livrable : 30 jours après livraison (sinon mise en demeure)
Notification violation données : 24h maximum

Contact DPO CAIH

Email : dpo@caih.fr

📌 POINTS CRITIQUES À RETENIR

Critère	Exigence
HDS	Obligatoire (non-négociable)
Localisation	Union Européenne exclusivement
Capital non-UE	Max 24% individuel, 39% collectif
Open Source	100% minimum (tolérance interop Microsoft)
SLA	99,8% mensuel
PRA	< 4 heures
Support N2	≤ 4h ouvrées
Support N3	≤ 8h ouvrées
Équipes	UE + francophones
LTS	36 mois minimum
Codes sources	Remis à CAIH + licences libres
R&D durée	12 mois max cumulés
R&D modification	Max +15% par avenant
Références	Max 4, A4 recto-verso, 4 dernières années
Deadline Candidature	19 février 2026, 12h30

🚀 PROCHAINES ÉTAPES

Plateforme de Dépôt [RC, Art. 5.1 & Art. 7]

🌐 PLACE : https://www.marches-publics.gouv.fr

Dépôt candidature exclusivement via profil acheteur
Communication dématérialisée obligatoire
Identification recommandée pour suivi modifications DCE

Checklist Candidature

✅ Comprendre structure 5 briques
⏳ Préparer max 4 références (1 page A4 recto-verso chacune)
⏳ Couvrir les briques : Workspace, ID CAIH, Infrastructure, Parc & Postes
⏳ Vérifier capacités internes sur les 5 briques
⏳ Identifier partenaires cotraitance (HDS obligatoire)
⏳ Valider conformité souveraineté (HDS, capital UE, localisation UE)
⏳ Préparer effectifs & contributions OS (2023-2025)
⏳ Préparer convention groupement
⏳ Nommer fichiers : 26_01_DC_[type]_[NomFournisseur]
⏳ DÉPOSER SUR PLACE AVANT 19 février 2026, 12h30

Résumé créé : 15 janvier 2026
Mise à jour : 3 février 2026 (Enrichissement complet avec RC v20260130)
Sources : Programme Fonctionnel v20251222, CCAP v1.0, RC v20260130, Annexe 1 RC, Liste Établissements

📄 RESUME SHORT