La Chambre territoriale des comptes (CTC) s’est penchée de nouveau sur le dossier épineux de la Caisse de prévoyance sociale (CPS), en passant cette fois au crible les systèmes d’information du territoire. La CTC alerte notamment sur le niveau de sécurité insuffisant de la protection des données et insiste sur la nécessité du renforcement du travail en commun.
Le contrôle a porté sur les systèmes d’information (SI) de la Caisse de Prévoyance Sociale (CPS) de 2014 à nos jours. Cette période correspond à la mise en œuvre du Schéma directeur des systèmes d’information élaboré fin 2013.
Un système d’information est constitué de l’ensemble des logiciels et matériels participant au stockage, à la gestion, au traitement, au transport et à la diffusion de l’information au sein de l’organisation.
L’organisation et le fonctionnement d’un système d’information n’est pas une fin en soi. Le contrôle a donc été mené au regard des attentes qu’une structure telle que la CPS peut avoir en matière de performance de son système d’information.
Compte tenu des missions de la CPS, le contrôle a essentiellement porté sur trois thèmes : l’organisation et les moyens du SI, la sécurité et la protection des données, ainsi que la mise en œuvre de la dématérialisation.
L’organisation et les moyens de la Direction des systèmes d’information (DSI)
L’organisation et les moyens de la DSI comprennent à la fois les moyens humains et informatique (matériels, réseaux, et applicatifs).
La période contrôlée se caractérise par une progression des effectifs de la DSI (de 33 en 2016 à 43 en 2019/2020) correspondant à la croissance et à la complexité du SI. Malgré cette progression, la DSI a recours de façon permanente à une forme d’externalisation, appelée « régie » : il s’agit de prestataires présents en permanence dans les locaux de la CPS. Certaines de ces régies interviennent depuis plusieurs années sur des compétences techniques. Dès lors, cette externalisation fait courir le risque d’une dépendance de la CPS sur le long terme à l’égard de ces prestataires.
Le budget d’investissement de la DSI ne s’inscrit pas dans une perspective pluriannuelle, ce qui a parfois conduit à un renouvellement précipité de certains équipements, tels que les serveurs, qui étaient pourtant en fin de vie. Un budget pluriannuel permettra de mieux planifier le renouvellement des équipements, ce qui est d’ailleurs envisagé dans le projet de nouveau schéma directeur des SI.
L’amélioration de l’organisation de la DSI pour mieux répondre aux priorités de la CPS constituait l’un des principaux objectifs du schéma directeur des systèmes d’information (SDSI). Cette organisation a été sensiblement modifiée afin de répondre à cet objectif, notamment par la création d’un bureau dédié aux projets et par la mise en place de comités (comité de qualification, comité de gestion de portefeuille de projets, et comité de pilotage), permettant de prioriser et de mieux suivre les demandes adressées à la DSI.
Cette meilleure gestion des demandes doit cependant être encore complétée par le développement de l’évaluation de la satisfaction des utilisateurs, internes comme externes, du système d’information.
L’urbanisation du SI est une démarche d’aide à la transformation, simplification et amélioration du SI.
L’un des principaux objectifs de transformation du SDSI était la refonte des applications écrites dans un langage informatique ancien (Cobol) en raison des risques en termes de maintenance (difficulté de trouver à terme du personnel formé sur ce langage), ne permettant pas de rationaliser le SI. Cet objectif n’a été que partiellement atteint dès lors que la majorité des applications métier (par opposition aux applications des fonctions supports utilisant le langage JAVA) reste écrite dans ce langage. La DSI a privilégié une refonte pragmatique et partielle (réécriture des programmes historiques en plus petits programmes plus faciles à maintenir). Le Conseil d’administration de la CPS devra se prononcer à nouveau, par exemple dans le cadre du futur SDSI, sur un objectif et une méthode de refonte car les pratiques de la DSI semblent s’éloigner de la méthode et des objectifs initialement fixés dans le SDSI de 2013. Par ailleurs, le maintien d’une grande partie du SI en Cobol fait courir le risque de dépendance de la DSI sur le long terme aux prestataires chargés d’accompagner la CPS pour la refonte de Cobol.
L’urbanisation comprend également la gestion des bases de données, notamment les bases de données décisionnelles. Ces dernières sont fondamentales pour le pilotage de la structure, car elles sont susceptibles de fournir des données utiles pour la réalisation d’indicateurs et d’analyses. Or, elles ont été sous-utilisées lors de la période sous revue. La Chambre ne peut dès lors qu’encourager l’élaboration en cours d’un schéma directeur décisionnel prévu par le nouveau plan d’entreprise. Il permettra de mieux valoriser l’existant et de développer le pilotage des données à la CPS. La réussite de ce travail passe par un renforcement des missions et des réalisations du contrôle interne au sein de la CPS, par exemple pour la définition des indicateurs pertinents ou la rédaction et la mise à jour des procédures.
Au total, l’urbanisation du SI de la CPS aboutit à la cohabitation entre un langage ancien encore prépondérant (Cobol) et des développements modernes, en particulier la mise en place des plateformes de service pour les usagers du SI. Le SI de la CPS est également tributaire des réformes des prestations de la CPS, qui vont encore s’amplifier ces prochaines années avec la réforme de la protection sociale généralisée.
Dans ce contexte, la Chambre recommande à la CPS de mieux évaluer ce qui est désigné en informatique comme la « dette technique », correspondant à l’accumulation de produits anciens au plan matériel ou logiciel, comme les applications en langage Cobol. Cette évaluation permettra de mieux définir, dans un contexte de réforme de la protection sociale généralisée et de développement de la dématérialisation, l’allocation des moyens entre la maintenance (en forte progression ces dernières années) et le développement nécessaire de nouvelles fonctionnalités du système d’information.
La sécurité et la protection des données
Compte tenu de l’activité de la CPS, qui gère des données confidentielles, par exemple en matière de santé ou de rémunérations, la sécurité et la protection des données doivent constituer un sujet de préoccupation majeur. Pour autant, le contrôle de ce domaine a conduit la Chambre à formuler de nombreuses observations.
En termes d’état des lieux et d’objectifs, le contrôle a mis en évidence l’absence de mise à jour de la cartographie des risques liés aux systèmes d’information, ainsi que des documents cadres peu opérationnels sur ces questions tels que le schéma directeur des systèmes d’information, ou la politique de sécurité de ces systèmes, y compris ceux qui étaient censés décliner les objectifs opérationnels en la matière. Les audits de sécurité ont principalement porté sur les plateformes de service en ligne. En revanche, le réseau interne n’a pas bénéficié de tests suffisamment réguliers au regard des bonnes pratiques. Le plan de reprise d’activité, indispensable notamment en cas d’attaque informatique, n’est qu’en cours d’élaboration.
La protection des données n’a été que récemment renforcée, suite à l’entrée en vigueur du règlement général sur la protection des données (RGPD) en 2019. Cependant, de nombreuses actions restent à entreprendre afin que la CPS soit en conformité avec ce cadre. Ainsi, un travail de revue des habilitations des agents est indispensable pour assurer la protection des données. La Chambre recommande à la CPS de le réaliser dès cette année. Elle prend note de l’engagement de la CPS relatif à la réalisation de la revue des habilitations et de la planification d’audits RGPD.
La réussite d’une remise à niveau de la CPS sur ces questions nécessite la mobilisation de la direction générale, du contrôle interne et une bonne collaboration entre la responsable de la sécurité des systèmes d’information et la direction des systèmes d’information.
La dématérialisation
Les différents plans d’entreprises de la CPS poursuivent des objectifs ambitieux en matière de dématérialisation. Le plan d’entreprise « Te Mata Ora » de 2013 évoquait ainsi l’objectif de généraliser la forme électronique des documents traités dans un délai de 3 ans.
Les résultats sont cependant loin des ambitions affichées. La principale avancée en matière de dématérialisation réside dans la mise en place de plateformes de services dématérialisées, qui, pour certaines d’entre elles, auront une utilité au-delà de la CPS, pour l’ensemble de la Polynésie française, par exemple pour la délivrance d’identités numériques fiables.
Il reste cependant un potentiel très important de documents à dématérialiser. En effet, 59 % des agents effectuent à titre principal des tâches consistant à scanner des pièces ou à réaliser des saisies manuelles.
Les études du schéma directeur de la dématérialisation de 2018 constituent davantage un état des lieux de la dématérialisation au sein des différents services de la CPS qu’une feuille de route pour le développement de la dématérialisation. Les documents transmis par la CPS au cours de l’instruction confirment un manque d’évaluation des implications globales de la dématérialisation (incidences financières, en matière de stockage, de ressources humaines, etc.).
La mise en œuvre de la dématérialisation permet une fiabilisation des données et des contrôles. C’est par exemple l’un des intérêts du projet de feuille de soins électronique.
Son approfondissement devra être l’occasion pour la CPS de redéfinir sa politique de contrôle, notamment d’arbitrer entre la part de contrôle exhaustifs et la part de contrôles proportionnés aux risques (échantillonnage).
Alors que la dématérialisation constitue une priorité réitérée dans le plan d’entreprise 2021-2023, la Chambre recommande à la CPS de définir dès 2022 une feuille de route opérationnelle pour celle-ci. La Chambre prend note de la rédaction prochaine d’un plan opérationnel de dématérialisation dans le cadre du nouveau Schéma directeur des systèmes d’information.
Le contrôle s’est également intéressé aux projets de dématérialisation dans le domaine de la santé, envisagés par le Schéma d’organisation sanitaire (2016). Ces projets qui permettent d’améliorer l’efficience de la gestion et le suivi médical des patients, comprenaient notamment le développement de la télémédecine, la création d’un observatoire des données de santé, la feuille de soins électronique ainsi que le dossier médical partagé. Si certains de ces projets intéressaient au premier chef l’activité de la CPS, en particulier la feuille de soins électronique, tous impliquaient a minima une association forte de la CPS compte tenu des données dont elle dispose.
Si le déploiement de la feuille de soins électronique a progressé, en particulier par la télétransmission réalisée par les pharmaciens, les médecins libéraux n’ont pas encore participé à cette évolution.
S’agissant des projets qui nécessitent un travail en commun avec d’autres structures (ministère de la Santé, Centre Hospitalier de la Polynésie française, et l’Agence de régulation de l’action sanitaire et sociale), les constats mettent en évidence la faible association de la CPS pour le projet d’Observatoire des données de santé ou pour le projet de dossier médical partagé, non créés à ce jour.
Ces résultats très inférieurs aux ambitions sont en partie imputables à un défaut de gouvernance commune pour la réalisation de ces projets, la CPS n’ayant pas été suffisamment associée ou n’ayant pas eu un rôle moteur. Ce défaut de gouvernance commune ressortait déjà des bilans réalisés lors de l’élaboration du schéma d’organisation sanitaire de 2016. Son renforcement constituait donc une priorité clairement réaffirmée.
Afin d’élaborer enfin une gouvernance commune et de fluidifier les échanges d’informations, indispensables à la réussite des projets de digitalisation dans le domaine de la santé, la Chambre recommande à la CPS de participer à la création d’une structure de coordination des systèmes d’information de l’ensemble de la Polynésie française.
Le contrôle des systèmes d’information de la CPS a mis en évidence, au-delà des problématiques propres aux SI telles que la sécurité ou les projets de refonte, des enjeux de gestion qui impliquent l’ensemble du fonctionnement de la structure et des relations aux assurés et partenaires de la CPS, en particulier pour la dématérialisation.
La mise à jour des procédures, la définition d’indicateurs de pilotage, la révision de la politique de contrôle, une meilleure protection des données, et un renforcement du travail en commun avec d’autres organismes, en particulier dans le domaine de la santé, constituent non seulement les conditions d’une meilleure efficacité du système d’information mais sont également des axes d’amélioration pour la gestion de la CPS.
Les recommandations de la CTC
1 : Évaluer, dès 2022, la dette technique du système d’information afin de définir les moyens de la résorber.
2 : Procéder, dès 2022, à la revue des habilitations des agents.
3 : Définir, dès 2022, une feuille de route opérationnelle pour la dématérialisation.
4 : Participer, dès 2022, à la création d’une structure de coordination des systèmes d’information.
Lire le rapport complet de la CTC ci-dessous :
Source : Chambre territoriale des comptes