L’Essentiel : Le Gouvernement a lancé son troisième plan stratégique des systèmes d’information du service public de la sécurité sociale pour 2023-2027. Ce plan vise à automatiser les processus métier, à dématérialiser 100 % des démarches et à moderniser les outils des agents. Un axe novateur se concentre sur la sécurisation des capacités technologiques, intégrant des thématiques de cybersécurité et de souveraineté numérique. La protection des données personnelles est également renforcée, avec des délégués à la protection des données nommés et des procédures internes mises en place pour garantir la conformité au RGPD, tout en favorisant l’ouverture et le partage des données.

Le Gouvernement a lancé son troisième plan stratégique des systèmes d’information du service public de la sécurité sociale pour la période 2023-2027 (SSSI).

Les chantiers du SSSI ont fixé des objectifs, notamment en matière :

d’automatisation des processus métier avec la construction d’un dictionnaire des objets métier, la spécification et le développement d’une API (1) sécu et la mise en place du Dispositif ressources mensuelles (DRM) ; de relation 360° à l’usager avec 100 % des démarches dématérialisées et l’enrichissement progressif du Portail numérique des droits sociaux (PNDS) sur les plans technique et fonctionnel ; de modernisation des outils des agents avec la mutualisation des capacités éditiques des différentes caisses (projet dit CEREUS [2]) ; de transformation des organisations au travers, par exemple, d’achats SI communs ainsi que la création d’une catégorie du grand prix de l’innovation pour mettre en lumière les avancées de la sécurité sociale en matière de SI.

Capacités technologiques de la sécurité sociale

Le cinquième axe, dédié à la modernisation et la sécurisation des capacités technologiques de la sécurité sociale, est une nouveauté du SSSI 2023-2027.

Il englobe les nouvelles thématiques de cybersécurité, de souveraineté numérique et de résilience, du numérique responsable et d’urbanisation des SI.
Les 5 axes du SSSI déclinent les ambitions métiers fixées par la sécurité sociale :

Axe 1 Automatisation des processus et valorisation des données cœurs métier

– La mise en œuvre et la généralisation du principe du « dites-le nous une fois » impliquant l’enrichissement et l’ouverture des données de référence et des services applicatifs associés – Une exigence renforcée sur la qualité des données des référentiels partagés et la robustesse des échanges interbranches – Le développement de nouveaux services et de capacités d’analyse fondés sur la valorisation des données interbranches – La multiplication des échanges interbranches impliquant une maîtrise et un pilotage renforcés des référentiels et de leurs usages

Axe 2 Transformation numérique de la relation à l’usager

– Une volonté réaffirmée de mettre l’usager au centre se concrétisant par le développement des parcours interbranches – La simplification des démarches et de l’accès aux services de la sécurité sociale quels que soient les profils des usagers – L’amélioration de la connaissance des usagers afin d’être davantage proactif et d’anticiper les évolutions de situations des assurés, y compris dans le traitement des prestations.

Axe 3 Modernisation des outils des agents

– Un accroissement des usages interbranches, impliquant une collaboration renforcée des agents – Des exigences d’efficience devant s’incarner notamment sur les fonctions supports, et se traduisant par une harmonisation des outils mis à disposition des agents – L’évolution des outils cœur de métier à destination des agents, pour améliorer l’efficience des processus et aussi de décommissionner les traitements anciens complexes à maintenir

Axe 4 Transformation de la fonction SI

– La poursuite de la transformation numérique de la sécurité sociale demandant de sécuriser et développer les compétences et ressources intervenant sur les SI – Une attractivité renforcée de la sécurité sociale pour les profils SI.

Axe 5 Modernisation et résilience des capacités technologiques

– Une maîtrise accrue des capacités technologiques dans un contexte d’une interdépendance grandissante des SI des OSS amplifiant leur criticité – Une sensibilité des données de la sécurité sociale impliquant de garantir la souveraineté et la résilience de ses SI – Une vigilance aux enjeux du numérique responsable

L’exploitation et la protection des données personnelles

La protection des données à caractère personnel

Le schéma stratégique 2018-2022 présentait le RGPD et les évolutions induites sur la réglementation en France. Ce règlement conserve et renforce les grands principes qui figuraient déjà dans la loi « informatique et libertés » du 6 janvier 1978 sur :

– la proportionnalité des données traitées par rapport à la finalité du traitement ;
– la légitimité des destinataires à accéder aux données ;
– l’interdiction de traiter des données sensibles sauf exceptions prévues par les textes ;
– la notion de consentement explicite et éclairé ;
– la reconnaissance de droits aux personnes concernées sur leurs données.

Ce cadre juridique allège également les formalités préalables à la mise en œuvre de traitements de données et responsabilise les acteurs de traitement.
Les organismes de sécurité sociale ont ainsi nommé des délégués à la protection des données (DPD), mis en œuvre des procédures internes de mise en conformité (pour la gestion d’une violation de données, l’application des droits des personnes, l’encadrement de la sous-traitance, etc.), tiennent un registre de leurs traitements de données et réalisent des analyses d’impact relative à la protection des données (AIPD) avant la mise en œuvre des traitements considérés comme à « risque ». Les OSS ont progressivement réalisé les AIPD sur le parc applicatif existant et ont inscrit dans la gestion de leurs projets ces nouveaux livrables.

Si le décret-cadre relatif au numéro d’inscription au répertoire (NIR) limite la prise de décret en Conseil d’Etat autorisant les traitements comportant ce numéro, la DSS conserve toutefois une responsabilité en tant que tutelle des organismes. La DSS peut exercer une responsabilité conjointe sur les traitements transverses à la sécurité sociale.

A ce titre, la liste des traitements en responsabilité conjointe entre les caisses et l’Etat est tenue à jour par la DSS et les DPD des OSS.

Le groupe de travail sur la doctrine RGPD dans le cadre du précédent SSSI est pérennisé sous la forme d’une communauté. La Caisse nationale d’assurance vieillesse (CNAV) et la direction de la sécurité sociale (DSS) en assurent l’animation et le secrétariat.

La communauté des DPD des OSS se réunit annuellement à l’initiative de la DSS pour actualiser la doctrine d’application des textes sur la protection des données à caractère personnel, dont la première version date de septembre 2019 et fait l’objet d’une validation par le Costrat SSSI.

Des ateliers réunissant la communauté des DPD alimentent la doctrine des OSS sur l’encadrement des transferts, des échanges et des mises à disposition de données à caractère personnel.

Cette doctrine a pour objectif d’assurer la protection de la circulation des données et leur réutilisation, d’harmoniser les pratiques d’encadrement et de simplifier et clarifier les prérequis et les modalités d’échange.

Ce travail contribue à la mise en œuvre de la politique d’ouverture, de partage et de valorisation des données portée par le ministère chargé de la sécurité sociale pour améliorer le service au public et la prise de décision publique.

La protection des données à caractère personnel, et donc la confiance du public, dans le cadre de l’ouverture, du partage et de la valorisation des données passera aussi nécessairement par la contribution de la communauté des DPD aux travaux et rencontres entre agents aux profils complémentaires (métiers, profils data, juristes, décideurs, etc.) sur :

– le renforcement de l’expertise sur les différentes méthodes permettant de mettre en conformité les données ;
– la mise en place d’un circuit et d’une capacité d’instruction centralisés et outillés de gestion des demandes de partage de données et d’un environnement documentaire pour renforcer la maîtrise d’ensemble des partages (accords de réutilisation, conventions de partage, gestion et archivage centralisé des accords, informations sur la qualité des flux, etc.) ;
– la sensibilisation aux enjeux juridiques liés aux données et la création de référentiels ressources pour assurer que la gestion des données respecte les principes éthiques dans l’ensemble du cycle de vie de la donnée, surtout lorsqu’il s’agit de projets utilisant des approches d’intelligence artificielle (principes de redevabilité et de transparence prévus par la loi).

Pour rappel :

– la liste des traitements en responsabilité conjointe entre les OSS et l’Etat est tenue à jour par la DSS ;
– les OSS et la DSS s’informent mutuellement des évolutions des traitements qui sont en responsabilité conjointe et se coordonnent pour la tenue à jour de la documentation de leur conformité et de leurs accès ;
– la protection des données est prise en compte dans tous les projets des caisses ;
– la DSS suit la réalisation des AIPD sur le parc applicatif existant ;
– la doctrine RGPD de la sécurité sociale fait l’objet d’une revue annuelle par la DSS et les DPD des OSS ;
– la DSS prend en charge la rédaction des textes réglementaires pour la mise en œuvre des traitements le nécessitant, en concertation avec les OSS.

Q/R juridiques soulevées :

Quel est l’objectif principal du troisième plan stratégique des systèmes d’information du service public de la sécurité sociale (SSSI) pour 2023-2027 ?

Le troisième plan stratégique des systèmes d’information du service public de la sécurité sociale (SSSI) pour la période 2023-2027 vise à moderniser et à optimiser les processus de la sécurité sociale. Ce plan se concentre sur plusieurs axes, notamment l’automatisation des processus métier, la dématérialisation des démarches pour les usagers, et la modernisation des outils utilisés par les agents. Il inclut également des initiatives pour transformer les organisations et améliorer la relation avec les usagers, tout en intégrant des considérations de cybersécurité et de souveraineté numérique.

Quels sont les principaux axes du SSSI 2023-2027 ?

Le SSSI 2023-2027 se décline en cinq axes principaux : 1. **Automatisation des processus et valorisation des données cœurs métier** : Cela implique la mise en œuvre du principe « dites-le nous une fois », l’amélioration de la qualité des données, et le développement de nouveaux services basés sur l’analyse des données interbranches. 2. **Transformation numérique de la relation à l’usager** : Ce volet vise à placer l’usager au centre des préoccupations, en simplifiant l’accès aux services et en améliorant la connaissance des usagers pour anticiper leurs besoins. 3. **Modernisation des outils des agents** : Cela comprend l’harmonisation des outils utilisés par les agents et l’amélioration de l’efficacité des processus. 4. **Transformation de la fonction SI** : Cet axe se concentre sur le développement des compétences et des ressources nécessaires pour sécuriser les systèmes d’information. 5. **Modernisation et résilience des capacités technologiques** : Il s’agit de garantir la souveraineté et la résilience des systèmes d’information, tout en prenant en compte les enjeux du numérique responsable.

Comment la sécurité sociale aborde-t-elle la protection des données personnelles ?

La protection des données personnelles est un enjeu majeur pour la sécurité sociale, qui s’inscrit dans le cadre du RGPD. Le RGPD renforce des principes déjà présents dans la loi « informatique et libertés » de 1978, tels que la proportionnalité des données, la légitimité des destinataires, et le consentement explicite des personnes concernées. Les organismes de sécurité sociale ont mis en place des délégués à la protection des données (DPD) et des procédures internes pour garantir la conformité avec ces réglementations. Ils réalisent également des analyses d’impact sur la protection des données (AIPD) pour les traitements jugés à risque.

Quelles sont les responsabilités de la Direction de la Sécurité Sociale (DSS) concernant les traitements de données ?

La Direction de la Sécurité Sociale (DSS) joue un rôle déterminant dans la gestion des traitements de données au sein des organismes de sécurité sociale (OSS). Elle conserve une responsabilité conjointe sur les traitements transverses à la sécurité sociale et tient à jour la liste des traitements en responsabilité conjointe entre les caisses et l’État. La DSS s’assure également que les OSS respectent les exigences du RGPD et coordonne les efforts pour maintenir la documentation de conformité. Elle est également responsable de la rédaction des textes réglementaires nécessaires à la mise en œuvre des traitements de données.

Comment la sécurité sociale assure-t-elle la mise en conformité avec le RGPD ?

Pour assurer la mise en conformité avec le RGPD, la sécurité sociale a mis en place plusieurs mesures. Les organismes de sécurité sociale ont nommé des délégués à la protection des données (DPD) et ont élaboré des procédures internes pour gérer les violations de données et appliquer les droits des personnes concernées. Ils tiennent également un registre de leurs traitements de données et réalisent des analyses d’impact relative à la protection des données (AIPD) pour les projets à risque. De plus, la DSS organise des réunions annuelles pour actualiser la doctrine d’application des textes sur la protection des données, garantissant ainsi une harmonisation des pratiques au sein des OSS.