Le Gouvernement a lancé son troisième plan stratégique des systèmes d’information du service public de la sécurité sociale pour la période 2023-2027 (SSSI).
Les chantiers du SSSI ont fixé des objectifs, notamment en matière :
- d’automatisation des processus métier avec la construction d’un dictionnaire des objets métier, la spécification et le développement d’une API (1) sécu et la mise en place du Dispositif ressources mensuelles (DRM) ;
- de relation 360° à l’usager avec 100 % des démarches dématérialisées et l’enrichissement progressif du Portail numérique des droits sociaux (PNDS) sur les plans technique et fonctionnel ;
- de modernisation des outils des agents avec la mutualisation des capacités éditiques des différentes caisses (projet dit CEREUS [2]) ;
- de transformation des organisations au travers, par exemple, d’achats SI communs ainsi que la création d’une catégorie du grand prix de l’innovation pour mettre en lumière les avancées de la sécurité sociale en matière de SI.
Capacités technologiques de la sécurité sociale
Le cinquième axe, dédié à la modernisation et la sécurisation des capacités technologiques de la sécurité sociale, est une nouveauté du SSSI 2023-2027.
Il englobe les nouvelles thématiques de cybersécurité, de souveraineté numérique et de résilience, du numérique responsable et d’urbanisation des SI.
Les 5 axes du SSSI déclinent les ambitions métiers fixées par la sécurité sociale :
Axe 1 Automatisation des processus et valorisation des données cœurs métier | – La mise en œuvre et la généralisation du principe du « dites-le nous une fois » impliquant l’enrichissement et l’ouverture des données de référence et des services applicatifs associés – Une exigence renforcée sur la qualité des données des référentiels partagés et la robustesse des échanges interbranches – Le développement de nouveaux services et de capacités d’analyse fondés sur la valorisation des données interbranches – La multiplication des échanges interbranches impliquant une maîtrise et un pilotage renforcés des référentiels et de leurs usages |
Axe 2 Transformation numérique de la relation à l’usager | – Une volonté réaffirmée de mettre l’usager au centre se concrétisant par le développement des parcours interbranches – La simplification des démarches et de l’accès aux services de la sécurité sociale quels que soient les profils des usagers – L’amélioration de la connaissance des usagers afin d’être davantage proactif et d’anticiper les évolutions de situations des assurés, y compris dans le traitement des prestations. |
Axe 3 Modernisation des outils des agents | – Un accroissement des usages interbranches, impliquant une collaboration renforcée des agents – Des exigences d’efficience devant s’incarner notamment sur les fonctions supports, et se traduisant par une harmonisation des outils mis à disposition des agents – L’évolution des outils cœur de métier à destination des agents, pour améliorer l’efficience des processus et aussi de décommissionner les traitements anciens complexes à maintenir |
Axe 4 Transformation de la fonction SI | – La poursuite de la transformation numérique de la sécurité sociale demandant de sécuriser et développer les compétences et ressources intervenant sur les SI – Une attractivité renforcée de la sécurité sociale pour les profils SI. |
Axe 5 Modernisation et résilience des capacités technologiques | – Une maîtrise accrue des capacités technologiques dans un contexte d’une interdépendance grandissante des SI des OSS amplifiant leur criticité – Une sensibilité des données de la sécurité sociale impliquant de garantir la souveraineté et la résilience de ses SI – Une vigilance aux enjeux du numérique responsable |
L’exploitation et la protection des données personnelles
La protection des données à caractère personnel
Le schéma stratégique 2018-2022 présentait le RGPD et les évolutions induites sur la réglementation en France. Ce règlement conserve et renforce les grands principes qui figuraient déjà dans la loi « informatique et libertés » du 6 janvier 1978 sur :
– la proportionnalité des données traitées par rapport à la finalité du traitement ;
– la légitimité des destinataires à accéder aux données ;
– l’interdiction de traiter des données sensibles sauf exceptions prévues par les textes ;
– la notion de consentement explicite et éclairé ;
– la reconnaissance de droits aux personnes concernées sur leurs données.
Ce cadre juridique allège également les formalités préalables à la mise en œuvre de traitements de données et responsabilise les acteurs de traitement.
Les organismes de sécurité sociale ont ainsi nommé des délégués à la protection des données (DPD), mis en œuvre des procédures internes de mise en conformité (pour la gestion d’une violation de données, l’application des droits des personnes, l’encadrement de la sous-traitance, etc.), tiennent un registre de leurs traitements de données et réalisent des analyses d’impact relative à la protection des données (AIPD) avant la mise en œuvre des traitements considérés comme à « risque ». Les OSS ont progressivement réalisé les AIPD sur le parc applicatif existant et ont inscrit dans la gestion de leurs projets ces nouveaux livrables.
Si le décret-cadre relatif au numéro d’inscription au répertoire (NIR) limite la prise de décret en Conseil d’Etat autorisant les traitements comportant ce numéro, la DSS conserve toutefois une responsabilité en tant que tutelle des organismes. La DSS peut exercer une responsabilité conjointe sur les traitements transverses à la sécurité sociale.
A ce titre, la liste des traitements en responsabilité conjointe entre les caisses et l’Etat est tenue à jour par la DSS et les DPD des OSS.
Le groupe de travail sur la doctrine RGPD dans le cadre du précédent SSSI est pérennisé sous la forme d’une communauté. La Caisse nationale d’assurance vieillesse (CNAV) et la direction de la sécurité sociale (DSS) en assurent l’animation et le secrétariat.
La communauté des DPD des OSS se réunit annuellement à l’initiative de la DSS pour actualiser la doctrine d’application des textes sur la protection des données à caractère personnel, dont la première version date de septembre 2019 et fait l’objet d’une validation par le Costrat SSSI.
Des ateliers réunissant la communauté des DPD alimentent la doctrine des OSS sur l’encadrement des transferts, des échanges et des mises à disposition de données à caractère personnel.
Cette doctrine a pour objectif d’assurer la protection de la circulation des données et leur réutilisation, d’harmoniser les pratiques d’encadrement et de simplifier et clarifier les prérequis et les modalités d’échange.
Ce travail contribue à la mise en œuvre de la politique d’ouverture, de partage et de valorisation des données portée par le ministère chargé de la sécurité sociale pour améliorer le service au public et la prise de décision publique.
La protection des données à caractère personnel, et donc la confiance du public, dans le cadre de l’ouverture, du partage et de la valorisation des données passera aussi nécessairement par la contribution de la communauté des DPD aux travaux et rencontres entre agents aux profils complémentaires (métiers, profils data, juristes, décideurs, etc.) sur :
– le renforcement de l’expertise sur les différentes méthodes permettant de mettre en conformité les données ;
– la mise en place d’un circuit et d’une capacité d’instruction centralisés et outillés de gestion des demandes de partage de données et d’un environnement documentaire pour renforcer la maîtrise d’ensemble des partages (accords de réutilisation, conventions de partage, gestion et archivage centralisé des accords, informations sur la qualité des flux, etc.) ;
– la sensibilisation aux enjeux juridiques liés aux données et la création de référentiels ressources pour assurer que la gestion des données respecte les principes éthiques dans l’ensemble du cycle de vie de la donnée, surtout lorsqu’il s’agit de projets utilisant des approches d’intelligence artificielle (principes de redevabilité et de transparence prévus par la loi).
Pour rappel :
– la liste des traitements en responsabilité conjointe entre les OSS et l’Etat est tenue à jour par la DSS ;
– les OSS et la DSS s’informent mutuellement des évolutions des traitements qui sont en responsabilité conjointe et se coordonnent pour la tenue à jour de la documentation de leur conformité et de leurs accès ;
– la protection des données est prise en compte dans tous les projets des caisses ;
– la DSS suit la réalisation des AIPD sur le parc applicatif existant ;
– la doctrine RGPD de la sécurité sociale fait l’objet d’une revue annuelle par la DSS et les DPD des OSS ;
– la DSS prend en charge la rédaction des textes réglementaires pour la mise en œuvre des traitements le nécessitant, en concertation avec les OSS.