En complément de ces axes, le cadre de coopération vise notamment à instaurer des modalités de travail entre l'Etat et les OSS pour partager les bonnes pratiques, des règles communes et soutenir une trajectoire vertueuse du SI de la sécurité sociale.
Déjà présent dans le précédent SSSI, il doit être amendé au vu des nouveaux enjeux de valorisation des données, d'amélioration du pilotage des dispositifs communs et de maîtrise de la trajectoire d'urbanisation des systèmes d'information de la sécurité sociale.
Le cadre est ainsi construit autour des dimensions suivantes :

- gouvernance et pilotage de la transformation numérique des SI de la sécurité sociale ;
- valorisation de la donnée et la protection des données personnelles ;
- processus partagé de co-construction des politiques publiques ;
- pilotage des actions du SSSI et gestion des dispositifs mutualisés ;
- urbanisation.

1. Gouvernance et pilotage de la transformation numérique des SI de la sécurité sociale

La gouvernance doit permettre de conduire la transformation numérique de la sécurité sociale dans le cadre organisationnel complexe des OSS et de l'Etat. Il s'agit donc de mettre en place un cadre qui permette la réalisation d'arbitrages au bon niveau d'intervention sans développer une comitologie trop lourde, et de contribuer à la transparence sur l'avancée des grands projets de la sécurité sociale.
Les règles et principes suivants sont à mettre en œuvre :

- le schéma stratégique des SI de la sécurité sociale est élaboré en collaboration avec les caisses en parallèle des négociations COG des principales caisses du régime général. Il est formalisé par arrêté du ministre chargé de la sécurité sociale ;
- un comité stratégique (Costrat SSSI) réunit le directeur de la sécurité sociale et les directeurs généraux de l'ACOSS, de la CCMSA, de la CNAF, de la CNAM de la CNAV et de la CNSA au moins une fois par an, pour arbitrer les évolutions majeures des systèmes d'information de la sécurité sociale et le plan de travail de l'année à venir. Il approuve les rapports sur l'avancement du plan d'action d'évolution des SI communs, le panorama des grands projets de la sécurité sociale, la gestion des dispositifs mutualisés et l'activité des communautés ;
- l'alignement des OSS avec les orientations stratégiques du présent SSSI et la transformation numérique de chacune des branches font l'objet de modalités de pilotage spécifiques, à travers principalement les COG et les SDSI ;
- le fonds de prospective et de performance défini à article L. 114-24 du code de sécurité sociale peut être mobilisé pour réaliser certaines actions du SSSI ;
- pour forger le collectif des acteurs de la gestion des SI de la sécurité sociale, et à la suite des rencontres entre directeurs des SI réalisées dans le cadre du précédent SSSI, une communauté des dirigeants des SI est créée. La direction de la sécurité sociale (DSS) en assure l'animation et le secrétariat.

Pour assurer le pilotage resserré du plan d'action de la transformation du SI commun défini dans le SSSI, les règles et principes suivants sont à suivre :

- un comité de pilotage (COPIL SSSI) réunit au moins semestriellement les directeurs des SI et les principales maîtrises d'ouvrage (MOA) pour arbitrer la feuille de route et suivre l'avancement de la mise en œuvre des actions du SSSI. Un suivi du plan d'action est réalisé par la DSS en coordination avec les OSS. Son modèle est disponible dans l'annexe « Outil de pilotage du SSSI » ;
- chaque action du SSSI peut faire, en tant que de besoin, l'objet d'une comitologie spécifique pour leur pilotage. Les principes et règles sont donnés au paragraphe « Pilotage des projets et des dispositifs mutualisés » du présent chapitre.

Pour assurer le pilotage de la transformation numérique de chacune des branches, les règles et principes suivants sont à mettre en œuvre :

- un schéma directeur des systèmes d'information est élaboré par chacune des caisses nationales ;
- un ensemble de projets sensibles est identifié par la DSS en lien avec la caisse ;
- annuellement, des comités d'orientation des SI sont organisés à l'initiative de la DSS pour échanger avec le directeur général de chaque caisse nationale du régime général et de la CCMSA sur les orientations stratégiques de moyen et long terme ;
- annuellement, un bilan du SDSI est transmis et présenté à la DSS par chacune des caisses nationales ainsi que de la CCMSA avant mi-mars de l'exercice suivant ;
- semestriellement, et plus si la situation le nécessite, une revue des projets sensibles est organisée sur la base d'un suivi établi par la caisse dans les conditions définies dans l'annexe « Outil de pilotage du SDSI ».

Les caractéristiques des bilans sont précisées en annexe.

2. Valorisation de la donnée et protection des données à caractère personnel

La valorisation de la donnée est un enjeu majeur pour la sphère sociale, pour mieux exploiter, partager et ainsi valoriser les données publiques au bénéfice de la transparence et de l'efficacité de l'action publique.
La valorisation des données doit être réalisée dans un cadre garantissant la protection des données à caractère personnel. Les OSS se sont pleinement appropriés le cadre juridique qui a évolué en 2018 et 2019 avec la mise en place du Règlement général de protection des données (RGPD) (3).
Le cadre de coopération doit permettre aux OSS et à l'Etat de collaborer sur la valorisation de la donnée, tout en assurant la protection des données à caractère personnel dans un cadre juridique clair sur les responsabilités de traitement, qui peuvent parfois être conjointes.
La valorisation de la donnée
La politique de la donnée, portée par le Premier ministre dans le cadre de la circulaire n° 6264/SG du 27 avril 2021 est définie sur la base des recommandations du rapport « Pour une politique publique de la donnée » (4) de la mission Bothorel. Au sein du ministère chargé de la sécurité sociale, trois axes stratégiques sont promus (piloter et décider ; partager pour simplifier ; assurer la qualité pour gagner la confiance). Ils sont déclinés en feuilles de route (5) dont deux impliquent les OSS.
Le schéma stratégique 2023-2027 est aligné sur cette nouvelle politique de l'Etat, dans son premier axe traitant de l'automatisation des processus et de la valorisation des données du cœur de métier des OSS.

Règles et principes à suivre par l'ensemble des OSS

- les OSS contribuent aux feuilles de route interministérielles des champs Travail et Santé/Solidarité ;
- les caisses informent la DSS de leurs contributions aux feuilles de route ;
- la DSS informe les caisses des initiatives ministérielles dans le domaine de la donnée.

La protection des données à caractère personnel
Le schéma stratégique 2018-2022 présentait le RGPD et les évolutions induites sur la réglementation en France. Ce règlement conserve et renforce les grands principes qui figuraient déjà dans la loi « informatique et libertés » du 6 janvier 1978 sur :

- la proportionnalité des données traitées par rapport à la finalité du traitement ;
- la légitimité des destinataires à accéder aux données ;
- l'interdiction de traiter des données sensibles sauf exceptions prévues par les textes ;
- la notion de consentement explicite et éclairé ;
- la reconnaissance de droits aux personnes concernées sur leurs données.

Ce cadre juridique allège également les formalités préalables à la mise en œuvre de traitements de données et responsabilise les acteurs de traitement.
Les organismes de sécurité sociale ont ainsi nommé des délégués à la protection des données (DPD), mis en œuvre des procédures internes de mise en conformité (pour la gestion d'une violation de données, l'application des droits des personnes, l'encadrement de la sous-traitance, etc.), tiennent un registre de leurs traitements de données et réalisent des analyses d'impact relative à la protection des données (AIPD) avant la mise en œuvre des traitements considérés comme à « risque ». Les OSS ont progressivement réalisé les AIPD sur le parc applicatif existant et ont inscrit dans la gestion de leurs projets ces nouveaux livrables.
Si le décret-cadre relatif au numéro d'inscription au répertoire (NIR) limite la prise de décret en Conseil d'Etat autorisant les traitements comportant ce numéro, la DSS conserve toutefois une responsabilité en tant que tutelle des organismes. La DSS peut exercer une responsabilité conjointe sur les traitements transverses à la sécurité sociale. A ce titre, la liste des traitements en responsabilité conjointe entre les caisses et l'Etat est tenue à jour par la DSS et les DPD des OSS.
Le groupe de travail sur la doctrine RGPD dans le cadre du précédent SSSI est pérennisé sous la forme d'une communauté. La Caisse nationale d'assurance vieillesse (CNAV) et la direction de la sécurité sociale (DSS) en assurent l'animation et le secrétariat.
La communauté des DPD des OSS se réunit annuellement à l'initiative de la DSS pour actualiser la doctrine d'application des textes sur la protection des données à caractère personnel, dont la première version date de septembre 2019 et fait l'objet d'une validation par le Costrat SSSI.
Des ateliers réunissant la communauté des DPD alimentent la doctrine des OSS sur l'encadrement des transferts, des échanges et des mises à disposition de données à caractère personnel. Cette doctrine a pour objectif d'assurer la protection de la circulation des données et leur réutilisation, d'harmoniser les pratiques d'encadrement et de simplifier et clarifier les prérequis et les modalités d'échange. Ce travail contribue à la mise en œuvre de la politique d'ouverture, de partage et de valorisation des données portée par le ministère chargé de la sécurité sociale pour améliorer le service au public et la prise de décision publique.
La protection des données à caractère personnel, et donc la confiance du public, dans le cadre de l'ouverture, du partage et de la valorisation des données passera aussi nécessairement par la contribution de la communauté des DPD aux travaux et rencontres entre agents aux profils complémentaires (métiers, profils data, juristes, décideurs, etc.) sur :

- le renforcement de l'expertise sur les différentes méthodes permettant de mettre en conformité les données ;
- la mise en place d'un circuit et d'une capacité d'instruction centralisés et outillés de gestion des demandes de partage de données et d'un environnement documentaire pour renforcer la maîtrise d'ensemble des partages (accords de réutilisation, conventions de partage, gestion et archivage centralisé des accords, informations sur la qualité des flux, etc.) ;
- la sensibilisation aux enjeux juridiques liés aux données et la création de référentiels ressources pour assurer que la gestion des données respecte les principes éthiques dans l'ensemble du cycle de vie de la donnée, surtout lorsqu'il s'agit de projets utilisant des approches d'intelligence artificielle (principes de redevabilité et de transparence prévus par la loi).

Règles et principes à suivre par l'ensemble des OSS

- la liste des traitements en responsabilité conjointe entre les OSS et l'Etat est tenue à jour par la DSS ;
- les OSS et la DSS s'informent mutuellement des évolutions des traitements qui sont en responsabilité conjointe et se coordonnent pour la tenue à jour de la documentation de leur conformité et de leurs accès ;
- la protection des données est prise en compte dans tous les projets des caisses ;
- la DSS suit la réalisation des AIPD sur le parc applicatif existant ;
- la doctrine RGPD de la sécurité sociale fait l'objet d'une revue annuelle par la DSS et les DPD des OSS ;
- la DSS prend en charge la rédaction des textes réglementaires pour la mise en œuvre des traitements le nécessitant, en concertation avec les OSS.

3. Processus partagé de co-construction des politiques publiques

La numérisation des services publics a rendu l'élaboration des politiques publiques indissociable de l‘évaluation des impacts en matière de transformation des systèmes d'information. Or la prise en compte ces impacts est souvent sous-estimée. Le précédent schéma stratégique présente un processus partagé de co-construction des politiques publiques, qui est repris dans le présent schéma stratégique, proposant qu'une étape d'analyse d'impact SI soit respectée avant la finalisation de l'élaboration d'une réforme ou d'une mesure. Il s'agit d'instaurer au plus tôt un dialogue entre les organismes concernés et l'Etat.

Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page

Figure 2. - Processus de co construction d'une réforme
Les acteurs de ce macro-processus sont les bureaux métiers de l'Etat (DSS), les services métiers des OSS, les services SI des OSS et le bureau en charge du pilotage SI à la DSS (4C). Il est essentiel que l'ensemble de ces acteurs soit informé dès la première étape des travaux en cours.
Le processus décrit ci-dessus se déroule en de multiples instances, une par réforme, mesure ou évolution. En conséquence, afin de garantir cohérence et efficacité, une méthodologie projet doit être mise en place au cas par cas avec ses instances de gouvernance et de pilotage.

Règles et principes à suivre par l'ensemble des OSS

- dès l'identification de pistes de réformes/mesures l'ensemble des acteurs sont informés ;
- chaque acteur est associé à l'instruction et partage sa contribution - Le matrice de responsabilité est présentée en annexe (cf. annexes 5) ;
- un avis sur l'impact SI et l'impact usager est donné en cours de l'instruction et cet avis remonte avant la prise de décision ;
- les analyses SI sont centrées sur l'identification du ou des impact(s) majeur(s) entraînant un « grand projet SI » qui devrait être pris en compte dans les modalités d'application de la réforme/mesure.

4. Pilotage des actions du SSSI et gestion des dispositifs mutualisés

Les OSS sont amenés à collaborer pour mettre en œuvre le plan d'action du SSSI et gérer dans le temps les dispositifs mutualisés. L'ensemble des parties est tenu de respecter les principes suivants.
En matière de gouvernance pour chaque action du SSSI

Règles et principes à suivre par l'ensemble des OSS

- un OSS est identifié comme chef de file pour chaque action du SSSI ;
- l'OSS chef de file désigne un chef de projet. Il est l'interlocuteur privilégié de la DSS et des autres caisses sur la mise en œuvre de cette action. Son rôle est de coordonner les travaux entre les différents OSS et, le cas échéant, d'autres contributeurs ;
- les OSS contributeurs à l'action désignent chacun un correspondant projet qui coordonne les acteurs métier et techniques au sein de leur organisme. Ils rendent compte au chef de file ;
- un référent est désigné au sein de la DSS pour chaque action. Il est garant du cadre et le fait évoluer si nécessaire. Il coordonne les différents acteurs concernés par l'action, au sein des OSS ou des différentes administrations ;
- par exception, la DSS peut aussi être chef de file sur des actions du SSSI, elle assure alors la coordination entre les différents OSS ;
- le chef de file définit une comitologie propre à son projet. Il peut solliciter auprès de la DSS des arbitrages dans les instances du SSSI (Copil ou Costrat) ;
- le chef de file assure le suivi de la mise en œuvre de l'action dont il a la charge et le présente dans les instances du SSSI.

En matière de pilotage des actions du SSSI
Doivent être systématiquement partagés dans les instances de pilotage et formalisés :

- les enjeux, les objectifs priorisés et les livrables attendus ;
- les critères de réussite du projet et les indicateurs élaborés avec les organismes ;
- la feuille de route : le macro-planning et les jalons afférents permettant de piloter le projet pour chacun des acteurs et de faire remonter les alertes. La feuille de route doit contenir les actions à réaliser par chacun des acteurs, y compris les décisions attendues, la prise d'un texte réglementaire, etc. ;
- les responsabilités aux regards du RGPD et de la loi informatique et libertés (LIL) (6) ;
- l'organisation de l'exploitation (run) à mettre en place ;
- les modalités de financement du projet ;
- les modalités de financement de la maintenance et des évolutions à mettre en œuvre ;
- un bilan (métier et technique) sur le projet.

En matière de gestion des dispositifs mutualisés et sur la fonction d'opérateur
Lors de la mise en place d'un nouveau dispositif mutualisé, un mode projet est mis en place. Une fois le projet de mise en place finalisé, de nouvelles modalités de gestion sont à définir. Les normes et bonnes pratiques (7) dans le domaine sont à mettre en œuvre par l'opérateur
Les OSS peuvent être amenés à construire et opérer plusieurs dispositifs mutualisés. Ils cumulent alors leur mission cœur de métier avec une fonction d'opérateur au service de tout ou partie du reste des OSS, qu'il s'agisse d'activités en interbranches ou en interrégimes. Les règles et principes ci-dessous ont pour but de simplifier et rationnaliser la comitologie associée à la gouvernance et au pilotage des projets communs et des dispositifs mutualisés et de clarifier la gestion budgétaire. Les règles suivantes sont déclinées dans chaque OSS exerçant une fonction d'opérateur.

Règles et principes à suivre par l'ensemble des OSS

- la gouvernance des missions relevant de la fonction opérateur est distincte de la gouvernance mise en place pour les missions de base de l'OSS ;
- des budgets sont définis spécifiquement pour les missions relevant de la fonction opérateur, avec un niveau de fongibilité budgétaire défini dans le cadre des conventions d'objectifs et de gestion ;
- une comitologie spécifique est mise en place pour assurer les arbitrages à un niveau stratégique et opérationnel ;
- au niveau stratégique, un comité est mis en place pour procéder aux arbitrages tant au niveau des projets (build) que du pilotage des dispositifs mutualisés (run). Le DSI de l'OSS et la DSS participent à cette instance ;
- au niveau opérationnel, des domaines regroupant plusieurs dispositifs communs peuvent être définis selon une logique fonctionnelle ou technique. Une comitologie est alors définie pour chaque domaine.

5. Urbanisation/architecture d'entreprise

La démarche d'urbanisation est un outil d'aide à la décision au service de la maîtrise du SI et de sa transformation. A cet égard, cette démarche doit être mise en œuvre de manière systématique dans l'ensemble des OSS :

- pour appuyer l'évolution stratégique du SI ;
- à l'occasion des projets de construction et de mise en place de nouveaux services ;
- pour faciliter la gouvernance des données.

Afin d'animer cette démarche, une communauté d'urbanistes ou architectes d'entreprise est créée. Le GIP-MDS en assure l'animation et le secrétariat.
Cette communauté a pour mission de contribuer à la mise en œuvre des principes suivants :

- un retour d'expérience sur un besoin équivalent doit être systématiquement recherché au niveau inter-régimes et interbranches pour éclairer toute décision de transformation ;
- une homogénéité sémantique (vocabulaire commun) est systématiquement recherchée. Les données manipulées sont recensées par chacun des organismes ;
- le niveau de responsabilité de chaque organisme est établi et partagé en matière d'administration des données. Toute évolution tient compte de l'objectif de standardisation et de facilitation de l'accès et de partage des données ;
- les référentiels respectent les exigences suivantes : pérennité, unicité, intégrité et fiabilité ;
- la réutilisation, la mutualisation voire l'intégration et/ou l'achat de solutions disponibles au sein des OSS sont privilégiées par rapport aux développements spécifiques. Les développements, le cas échéant, sont partagés aisément entre tous les organismes. Par ailleurs une maîtrise d'ouvrage capable de s'investir doit être clairement identifiée ;
- lors des projets de refonte des SI des organismes, le principe de découplage (modularité) et de réutilisation des composants est systématiquement recherché au sein des organismes ;
- une logique de mutualisation des composantes du SI back-office métiers (mutualisation des traitements métier) doit être systématiquement recherchée lorsque la réglementation et les contraintes liées au patrimoine applicatif le permettent et que le « retour sur investissement » est démontré ; les organismes restent cependant maîtres de leur intégration ;
- la diversité technologique est maîtrisée en inter-régimes et en interbranches ;
- les SI sont pensés « ouverts » et orientés « service », notamment à travers une stratégie « d'Apisation » (8) et une méthodologie partagée d'échange de la donnée afin d'anticiper les besoins d'échange de données entre organismes de la protection sociale ou avec leurs partenaires externes.

Les actions suivantes, s'inscrivant majoritairement dans un calendrier court, ont été retenues :

- partager les démarches d'urbanisation des OSS (urbanisation des données en particulier). Identifier, le cas échéant, les principes directeurs à déployer dans les OSS ;
- partager les différentes vues du SI des OSS. En interrégimes et en interbranches, leur mise à disposition doit permettre de positionner les demandes d'évolution et/ou de refonte dans un environnement existant métier et ainsi faciliter les études dans une logique de mutualisation et les prises de décision afférentes ;
- actualiser le document « Connaitre les SI transverses de la protection sociale ». Les OSS utilisent ce document pour les formations de leurs informaticiens ;
- proposer, le cas échéant, des mutualisations sur des périmètres fonctionnels prioritaires et capacités technologiques permettant de faciliter la transformation numérique des OSS en cible ;
- appliquer les principes d'urbanisation (listés dans le cadre de coopération et de gouvernance) guidant la mutualisation des SI.

A terme, les OSS définiront « la cible commune du SI » de la sécurité sociale et en déduiront une trajectoire globale de mutualisation.
Une action sera, le cas échéant, réévaluée au cours du SSSI en fonction des opportunités afin de renforcer le pilotage de l'évolution des SI partagés :

- établir une documentation du SI de la sécurité sociale partagée, actualisée et utilisée.

6. Les communautés

- plusieurs communautés sont identifiées et doivent respecter les règles et principes suivants : A minima, l'ensemble des caisses nationales du régime général et de la CCMSA participe aux communautés ;
- les régimes spéciaux peuvent se faire représenter par un membre de l'union nationale des régimes spéciaux pour chaque communauté. Il relaie alors des travaux dans les autres régimes ;
- chaque communauté réalise annuellement un rapport présentant les modalités de travail pendant l'année et les livrables réalisés et le soumettent au Costrat SSSI.