La chambre territoriale des comptes n’en a pas fini avec la Caisse de prévoyance sociale. Après le premier contrôle jamais réalisé par la CTC et publié en juin dernier, il s’agit cette fois des systèmes informatiques de la Caisse. Un schéma directeur avait été élaboré fin 2013, mais son bilan n’est pas à la hauteur de ses ambitions, et la CTC incite la CPS à l’action dès cette année, car la réforme de la PSG approche à grands pas.
La chambre territoriale a centré son contrôle sur trois thèmes : l’organisation et les moyens, la sécurité et la protection des données, et la mise en œuvre de la dématérialisation.
Sur le premier point, on note que les effectifs de la direction des systèmes d’information (DSI) ont progressé de 33 personnes en 2016 à 43 en 2020, mais que la CPS a toujours eu recours à des prestataires externes présents en permanence. La CTC y voit un « risque d’une dépendance de la CPS sur le long terme à l’égard de ces prestataires » que la DSI doit endiguer en évaluant les moyens nécessaires, tant sur le plan humain que matériel, et en adoptant un budget pluriannuel. Elle doit aussi développer l’évaluation de la satisfaction des utilisateurs. Par ailleurs, le schéma directeur de 2013 prévoyait une refonte des programmes écrits dans un langage informatique ancien (Cobol), un objectif qui n’a pas été atteint. Les bases de données sont sous-utilisées alors qu’elles devraient donner lieu à des indicateurs et des analyses.
Sur le plan de la sécurité des données, la CTC déplore une « cartographie des risques liés aux systèmes d’information » qui n’a pas été mise à jour, « des documents cadres peu opérationnels » et de trop rares tests du réseau interne. En cas d’attaque informatique, l’indispensable plan de reprise d’activité est… en cours d’élaboration. Quant au respect de la nouvelle réglementation sur la protection des données, il aurait été renforcé en 2019, mais n’est toujours pas conforme. La CTC recommande avant tout de passer en revue les habilitations des agents, et incite les différents services de la CPS concernés par le sujet à mieux collaborer.
Enfin, la dématérialisation avance, mais à un rythme poussif : « il reste un nombre très important de documents à dématérialiser », écrit la CTC qui rappelle avec un malin plaisir que « 59% des agents effectuent à titre principal des tâches consistant à scanner des pièces ou à réaliser des saisies manuelles. » Quant au schéma directeur de la dématérialisation, élaboré en 2018, il est à côté de la plaque car ses conséquences en termes de finances, de ressources humaines et de stockage n’y sont pas traitées. La feuille de soins électronique n’est que très peu utilisée par les médecins, et la CPS n’est pas suffisamment associée dans les projets d’Observatoire des données de santé et de dossier médical partagé. Il s’agira donc, dans le prochain schéma directeur des systèmes informatiques de la CPS, « d’élaborer enfin une gouvernance commune » entre les différents établissements et services de la santé et du social.
| Recommandation n°1 : Évaluer, dès 2022, la dette technique du système d’information afin de définir les moyens de la résorber.
Recommandation n°2 : Procéder, dès 2022, à la revue des habilitations des agents. Recommandation n°3 : Définir, dès 2022, une feuille de route opérationnelle pour la dématérialisation. Recommandation n°4 : Participer, dès 2022, à la création d’une structure de coordination des systèmes d’information. |