1. Objectifs du SSSI

Le schéma stratégique des systèmes d'information (SSSI) est un puissant levier de cadrage et de pilotage de la transformation numérique des systèmes d'information de la sécurité sociale, mentionné à l'article L. 114-23 du code de la sécurité sociale. Le SSSI vise cinq principaux objectifs :

- partager une vision commune des ambitions métiers et renforcer l'alignement du système d'information (SI) sur les grands objectifs des politiques publiques ;
- instaurer un cadre de coopération entre l'Etat, les organismes de sécurité sociale (OSS), leurs opérateurs techniques et l'Union des caisses nationales de sécurité sociale (Ucanss) pour partager des bonnes pratiques, des règles communes et soutenir une trajectoire vertueuse du système d'information de la sécurité sociale ;
- lancer en commun des projets majeurs de transformation du système d'information transverse ;
- définir une gouvernance forte en articulation avec les conventions d'objectifs et de gestion (COG) et des schémas directeurs des systèmes d'information (SDSI) des caisses nationales et de la caisse centrale de la Mutualité sociale agricole (CCMSA) ;
- identifier et concrétiser les opportunités de rationalisation de la fonction SI et de mutualisation pour optimiser les ressources SI de la sécurité sociale.

Au travers de ces cinq objectifs, le SSSI assure l'alignement de la stratégie SI avec les ambitions métiers et donne les orientations stratégiques de la transformation numérique de la sécurité sociale à long terme, un plan d'action pour les années 2023 à 2027. La co-construction du SSSI entre l'Etat et les OSS permet de renforcer le dialogue entre les organismes et facilite la réalisation de projets majeurs de transformation des SI.

2. Bilan et apprentissages du SSSI 2018-2022
2.1. Bilan synthétique

Le SSSI 2018-2022 a mis le SI et le numérique au cœur de la modernisation de la sécurité sociale en impulsant une vision pluriannuelle commune entre l'Etat et les OSS. Ce précédent exercice a été le cadre du lancement de projets majeurs, en particulier de mutualisation, et a fait des SI partagés ou transverses un axe clé de la transformation numérique de la sécurité sociale. Il représente une avancée certaine par rapport au premier SSSI qui couvrait la période 2013-2017 avec notamment l'introduction d'un cadre de coopération entre l'Etat et les OSS.
La sécurité sociale peut capitaliser sur les succès que le SSSI a impulsés. En particulier, le cadre de coopération et de gouvernance a défini une comitologie permettant les arbitrages, de déployer une politique de mise en conformité au Règlement général sur la protection des données (RGPD), et a contribué à l'émergence d'une vision commune des principaux SI transverses de la sécurité sociale. Les chantiers du SSSI ont rendu possible l'atteinte de certains des objectifs que s'était fixés la sécurité sociale, notamment en matière :

- d'automatisation des processus métier avec la construction d'un dictionnaire des objets métier, la spécification et le développement d'une API (1) sécu et la mise en place du Dispositif ressources mensuelles (DRM) ;
- de relation 360° à l'usager avec 100 % des démarches dématérialisées et l'enrichissement progressif du Portail numérique des droits sociaux (PNDS) sur les plans technique et fonctionnel ;
- de modernisation des outils des agents avec la mutualisation des capacités éditiques des différentes caisses (projet dit CEREUS [2]) ;
- de transformation des organisations au travers, par exemple, d'achats SI communs ainsi que la création d'une catégorie du grand prix de l'innovation pour mettre en lumière les avancées de la sécurité sociale en matière de SI.

Le périmètre de certains projets a été réévalué en cours d'exercice en cohérence avec les analyses et arbitrages réalisés pendant la période. La priorisation et la réévaluation des chantiers a permis de moduler l'ambition portée par le SSSI selon la capacité à faire des OSS.

2.2. Apprentissages pour l'élaboration du SSSI 2023-2027

Ce bilan fait ressortir les forces du précédent SSSI sur lesquelles le présent exercice, pour la période 2023-2027, capitalisera. Le cadre de coopération est notamment à renforcer avec les nouveaux besoins identifiés :

- une vision stratégique partagée à long terme, pouvant dépasser le cadre temporel du SSSI, est à déterminer. Le présent SSSI définit des cibles dont la trajectoire de mise en œuvre peut s'étendre sur plusieurs COG ;
- l'apport de valeur des orientations prises peut être précisé de façon plus systématique. Il est ainsi explicité dans chacune des orientations stratégiques du présent SSSI ;
- une meilleure déclinaison opérationnelle des orientations prises est attendue. Elles sont ainsi déclinées en actions assorties d'une indentification des principaux livrables ;
- la gouvernance du SSSI est également à adapter pour améliorer le pilotage opérationnel des chantiers et des dispositifs déjà existants tout en facilitant la prise de décisions stratégiques ;
- de nouvelles priorités de la transformation numérique sont à traiter : la résilience, la souveraineté et le numérique responsable.

Ce nouveau schéma stratégique tient compte de ces éléments de bilan.

3. Une stratégie SI alignée sur les enjeux stratégiques de la sécurité sociale et sur les objectifs des pouvoirs publics
3.1. Des enjeux métiers forts auxquels la sécurité sociale doit répondre

La crise sanitaire liée au coronavirus a mis en lumière l'importance de la mission de la sécurité sociale, le besoin d'accompagnement des assurés sociaux, l'exigence de réactivité du service public de la sécurité sociale. Les actions de simplification des processus métier et l'optimisation des moyens de contact pour tous les publics peuvent y contribuer durablement. L'amélioration de l'information au cotisant, la simplification des démarches de déclaration en ligne, l'accès simplifié aux données de santé ou la rationalisation des portails des professionnels de santé sont autant de pistes à forte valeur ajoutée qu'il convient d'explorer.
De plus, le SSSI doit continuer de contribuer aux enjeux de performance, de qualité des prestations sociales délivrées, de sécurité et de respect de l'environnement portés par les COG. La fiabilisation des outils de production, la dématérialisation des processus en lien avec l'assuré, la haute disponibilité des données pour les agents de la sécurité sociale, la transparence, l'accessibilité des démarches et de l'information, notamment proactive, à l'assuré constituent des axes majeurs de réponse à ces enjeux.
Enfin, l'atteinte des objectifs de mise en œuvre des politiques publiques et de maîtrise des coûts nécessite de trouver des réponses aux impératifs d'agilité des systèmes d'information de la sécurité sociale, de façon à mettre en œuvre rapidement les futures réformes ou de faire face à des évènements imprévus (de type crise sanitaire par exemple). Des investigations autour de l'urbanisation du SI de la sécurité sociale, notamment en matière d'échanges de données, de rationalisation et de mises en commun des briques logicielles et matérielles, et d'harmonisation des processus « métiers », doivent contribuer à couvrir ces derniers enjeux.
En synthèse, la sécurité sociale et son SSSI devront répondre à cinq principaux enjeux stratégiques de performance et de qualité :

- accompagner, voire prévenir, les changements de situation ou les évènements de vie, notamment sur les parcours des usagers en interbranches ;
- placer l'usager au centre en simplifiant ses parcours tout en garantissant un usage éthique des services délivrés ;
- maintenir un traitement régulier des prestations ;
- garantir le paiement à bon droit ;
- améliorer l'efficience, la sécurité, l'impact environnemental des services de la sécurité sociale.

3.2. Une ambition forte pour le SI de la sécurité sociale

Au regard des apprentissages du SSSI 2018-2022 et des enjeux stratégiques de la sécurité sociale, les pouvoirs publics et les OSS portent l'ambition forte de disposer d'un SI :

- éthique dans son usage ;
- sécurisé, face à une menace de cybersécurité grandissante et assurant la protection des données personnelles ;
- responsable, dans sa conception, vis à vis de l'environnement ;
- innovant, pour soutenir la mise en œuvre des politiques sociales ambitieuses ;
- efficient, pour garantir la performance opérationnelle du service et une maîtrise des coûts.

Cette cible est commune à l'ensemble des SI de la sécurité sociale. Les axes de transformation des SI sont définis à travers :

- les orientations stratégiques définies pour chaque OSS qui sont détaillées dans les SDSI et dont le cadre de pilotage est défini dans le cadre de coopération et de gouvernance du SSSI ;
- les orientations stratégiques concernant les SI communs. Elles sont structurées en cinq axes de transformation, présentés au paragraphe suivant et déclinées en plan d'action pour les cinq années du SSSI dans le chapitre trois du présent document.

3.3. Cinq axes de transformation, piliers de la stratégie SI commune

Le SSSI 2023-2027 est structuré en cinq axes stratégiques permettant de répondre à la diversité des enjeux métiers à adresser de manière transverse au sein de la sphère sociale via le numérique :

- axe 1 - Automatisation des processus et valorisation des données cœurs métier ;
- axe 2 - Transformation numérique de la relation à l'usager ;
- axe 3 - Modernisation des outils des agents ;
- axe 4 - Transformation de la fonction SI ;
- axe 5 - Modernisation et résilience des capacités technologiques.

Le cinquième axe, dédié à la modernisation et la sécurisation des capacités technologiques de la sécurité sociale, est une nouveauté du SSSI 2023-2027. Il englobe les nouvelles thématiques de cybersécurité, de souveraineté numérique et de résilience, du numérique responsable et d'urbanisation des SI.
Les 5 axes du SSSI déclinent les ambitions métiers fixées par la sécurité sociale :

Les 5 axes du SSSI 2023-2027 sont composés de 14 thématiques, dont 7 nouvelles, portant les orientations stratégiques du SSSI et permettant de répondre aux enjeux de la sécurité sociale pour les 5 prochaines années.

En complément de ces axes, le cadre de coopération vise notamment à instaurer des modalités de travail entre l'Etat et les OSS pour partager les bonnes pratiques, des règles communes et soutenir une trajectoire vertueuse du SI de la sécurité sociale.
Déjà présent dans le précédent SSSI, il doit être amendé au vu des nouveaux enjeux de valorisation des données, d'amélioration du pilotage des dispositifs communs et de maîtrise de la trajectoire d'urbanisation des systèmes d'information de la sécurité sociale.
Le cadre est ainsi construit autour des dimensions suivantes :

- gouvernance et pilotage de la transformation numérique des SI de la sécurité sociale ;
- valorisation de la donnée et la protection des données personnelles ;
- processus partagé de co-construction des politiques publiques ;
- pilotage des actions du SSSI et gestion des dispositifs mutualisés ;
- urbanisation.

1. Gouvernance et pilotage de la transformation numérique des SI de la sécurité sociale

La gouvernance doit permettre de conduire la transformation numérique de la sécurité sociale dans le cadre organisationnel complexe des OSS et de l'Etat. Il s'agit donc de mettre en place un cadre qui permette la réalisation d'arbitrages au bon niveau d'intervention sans développer une comitologie trop lourde, et de contribuer à la transparence sur l'avancée des grands projets de la sécurité sociale.
Les règles et principes suivants sont à mettre en œuvre :

- le schéma stratégique des SI de la sécurité sociale est élaboré en collaboration avec les caisses en parallèle des négociations COG des principales caisses du régime général. Il est formalisé par arrêté du ministre chargé de la sécurité sociale ;
- un comité stratégique (Costrat SSSI) réunit le directeur de la sécurité sociale et les directeurs généraux de l'ACOSS, de la CCMSA, de la CNAF, de la CNAM de la CNAV et de la CNSA au moins une fois par an, pour arbitrer les évolutions majeures des systèmes d'information de la sécurité sociale et le plan de travail de l'année à venir. Il approuve les rapports sur l'avancement du plan d'action d'évolution des SI communs, le panorama des grands projets de la sécurité sociale, la gestion des dispositifs mutualisés et l'activité des communautés ;
- l'alignement des OSS avec les orientations stratégiques du présent SSSI et la transformation numérique de chacune des branches font l'objet de modalités de pilotage spécifiques, à travers principalement les COG et les SDSI ;
- le fonds de prospective et de performance défini à article L. 114-24 du code de sécurité sociale peut être mobilisé pour réaliser certaines actions du SSSI ;
- pour forger le collectif des acteurs de la gestion des SI de la sécurité sociale, et à la suite des rencontres entre directeurs des SI réalisées dans le cadre du précédent SSSI, une communauté des dirigeants des SI est créée. La direction de la sécurité sociale (DSS) en assure l'animation et le secrétariat.

Pour assurer le pilotage resserré du plan d'action de la transformation du SI commun défini dans le SSSI, les règles et principes suivants sont à suivre :

- un comité de pilotage (COPIL SSSI) réunit au moins semestriellement les directeurs des SI et les principales maîtrises d'ouvrage (MOA) pour arbitrer la feuille de route et suivre l'avancement de la mise en œuvre des actions du SSSI. Un suivi du plan d'action est réalisé par la DSS en coordination avec les OSS. Son modèle est disponible dans l'annexe « Outil de pilotage du SSSI » ;
- chaque action du SSSI peut faire, en tant que de besoin, l'objet d'une comitologie spécifique pour leur pilotage. Les principes et règles sont donnés au paragraphe « Pilotage des projets et des dispositifs mutualisés » du présent chapitre.

Pour assurer le pilotage de la transformation numérique de chacune des branches, les règles et principes suivants sont à mettre en œuvre :

- un schéma directeur des systèmes d'information est élaboré par chacune des caisses nationales ;
- un ensemble de projets sensibles est identifié par la DSS en lien avec la caisse ;
- annuellement, des comités d'orientation des SI sont organisés à l'initiative de la DSS pour échanger avec le directeur général de chaque caisse nationale du régime général et de la CCMSA sur les orientations stratégiques de moyen et long terme ;
- annuellement, un bilan du SDSI est transmis et présenté à la DSS par chacune des caisses nationales ainsi que de la CCMSA avant mi-mars de l'exercice suivant ;
- semestriellement, et plus si la situation le nécessite, une revue des projets sensibles est organisée sur la base d'un suivi établi par la caisse dans les conditions définies dans l'annexe « Outil de pilotage du SDSI ».

Les caractéristiques des bilans sont précisées en annexe.

2. Valorisation de la donnée et protection des données à caractère personnel

La valorisation de la donnée est un enjeu majeur pour la sphère sociale, pour mieux exploiter, partager et ainsi valoriser les données publiques au bénéfice de la transparence et de l'efficacité de l'action publique.
La valorisation des données doit être réalisée dans un cadre garantissant la protection des données à caractère personnel. Les OSS se sont pleinement appropriés le cadre juridique qui a évolué en 2018 et 2019 avec la mise en place du Règlement général de protection des données (RGPD) (3).
Le cadre de coopération doit permettre aux OSS et à l'Etat de collaborer sur la valorisation de la donnée, tout en assurant la protection des données à caractère personnel dans un cadre juridique clair sur les responsabilités de traitement, qui peuvent parfois être conjointes.
La valorisation de la donnée
La politique de la donnée, portée par le Premier ministre dans le cadre de la circulaire n° 6264/SG du 27 avril 2021 est définie sur la base des recommandations du rapport « Pour une politique publique de la donnée » (4) de la mission Bothorel. Au sein du ministère chargé de la sécurité sociale, trois axes stratégiques sont promus (piloter et décider ; partager pour simplifier ; assurer la qualité pour gagner la confiance). Ils sont déclinés en feuilles de route (5) dont deux impliquent les OSS.
Le schéma stratégique 2023-2027 est aligné sur cette nouvelle politique de l'Etat, dans son premier axe traitant de l'automatisation des processus et de la valorisation des données du cœur de métier des OSS.

Règles et principes à suivre par l'ensemble des OSS

- les OSS contribuent aux feuilles de route interministérielles des champs Travail et Santé/Solidarité ;
- les caisses informent la DSS de leurs contributions aux feuilles de route ;
- la DSS informe les caisses des initiatives ministérielles dans le domaine de la donnée.

La protection des données à caractère personnel
Le schéma stratégique 2018-2022 présentait le RGPD et les évolutions induites sur la réglementation en France. Ce règlement conserve et renforce les grands principes qui figuraient déjà dans la loi « informatique et libertés » du 6 janvier 1978 sur :

- la proportionnalité des données traitées par rapport à la finalité du traitement ;
- la légitimité des destinataires à accéder aux données ;
- l'interdiction de traiter des données sensibles sauf exceptions prévues par les textes ;
- la notion de consentement explicite et éclairé ;
- la reconnaissance de droits aux personnes concernées sur leurs données.

Ce cadre juridique allège également les formalités préalables à la mise en œuvre de traitements de données et responsabilise les acteurs de traitement.
Les organismes de sécurité sociale ont ainsi nommé des délégués à la protection des données (DPD), mis en œuvre des procédures internes de mise en conformité (pour la gestion d'une violation de données, l'application des droits des personnes, l'encadrement de la sous-traitance, etc.), tiennent un registre de leurs traitements de données et réalisent des analyses d'impact relative à la protection des données (AIPD) avant la mise en œuvre des traitements considérés comme à « risque ». Les OSS ont progressivement réalisé les AIPD sur le parc applicatif existant et ont inscrit dans la gestion de leurs projets ces nouveaux livrables.
Si le décret-cadre relatif au numéro d'inscription au répertoire (NIR) limite la prise de décret en Conseil d'Etat autorisant les traitements comportant ce numéro, la DSS conserve toutefois une responsabilité en tant que tutelle des organismes. La DSS peut exercer une responsabilité conjointe sur les traitements transverses à la sécurité sociale. A ce titre, la liste des traitements en responsabilité conjointe entre les caisses et l'Etat est tenue à jour par la DSS et les DPD des OSS.
Le groupe de travail sur la doctrine RGPD dans le cadre du précédent SSSI est pérennisé sous la forme d'une communauté. La Caisse nationale d'assurance vieillesse (CNAV) et la direction de la sécurité sociale (DSS) en assurent l'animation et le secrétariat.
La communauté des DPD des OSS se réunit annuellement à l'initiative de la DSS pour actualiser la doctrine d'application des textes sur la protection des données à caractère personnel, dont la première version date de septembre 2019 et fait l'objet d'une validation par le Costrat SSSI.
Des ateliers réunissant la communauté des DPD alimentent la doctrine des OSS sur l'encadrement des transferts, des échanges et des mises à disposition de données à caractère personnel. Cette doctrine a pour objectif d'assurer la protection de la circulation des données et leur réutilisation, d'harmoniser les pratiques d'encadrement et de simplifier et clarifier les prérequis et les modalités d'échange. Ce travail contribue à la mise en œuvre de la politique d'ouverture, de partage et de valorisation des données portée par le ministère chargé de la sécurité sociale pour améliorer le service au public et la prise de décision publique.
La protection des données à caractère personnel, et donc la confiance du public, dans le cadre de l'ouverture, du partage et de la valorisation des données passera aussi nécessairement par la contribution de la communauté des DPD aux travaux et rencontres entre agents aux profils complémentaires (métiers, profils data, juristes, décideurs, etc.) sur :

- le renforcement de l'expertise sur les différentes méthodes permettant de mettre en conformité les données ;
- la mise en place d'un circuit et d'une capacité d'instruction centralisés et outillés de gestion des demandes de partage de données et d'un environnement documentaire pour renforcer la maîtrise d'ensemble des partages (accords de réutilisation, conventions de partage, gestion et archivage centralisé des accords, informations sur la qualité des flux, etc.) ;
- la sensibilisation aux enjeux juridiques liés aux données et la création de référentiels ressources pour assurer que la gestion des données respecte les principes éthiques dans l'ensemble du cycle de vie de la donnée, surtout lorsqu'il s'agit de projets utilisant des approches d'intelligence artificielle (principes de redevabilité et de transparence prévus par la loi).

Règles et principes à suivre par l'ensemble des OSS

- la liste des traitements en responsabilité conjointe entre les OSS et l'Etat est tenue à jour par la DSS ;
- les OSS et la DSS s'informent mutuellement des évolutions des traitements qui sont en responsabilité conjointe et se coordonnent pour la tenue à jour de la documentation de leur conformité et de leurs accès ;
- la protection des données est prise en compte dans tous les projets des caisses ;
- la DSS suit la réalisation des AIPD sur le parc applicatif existant ;
- la doctrine RGPD de la sécurité sociale fait l'objet d'une revue annuelle par la DSS et les DPD des OSS ;
- la DSS prend en charge la rédaction des textes réglementaires pour la mise en œuvre des traitements le nécessitant, en concertation avec les OSS.

3. Processus partagé de co-construction des politiques publiques

La numérisation des services publics a rendu l'élaboration des politiques publiques indissociable de l‘évaluation des impacts en matière de transformation des systèmes d'information. Or la prise en compte ces impacts est souvent sous-estimée. Le précédent schéma stratégique présente un processus partagé de co-construction des politiques publiques, qui est repris dans le présent schéma stratégique, proposant qu'une étape d'analyse d'impact SI soit respectée avant la finalisation de l'élaboration d'une réforme ou d'une mesure. Il s'agit d'instaurer au plus tôt un dialogue entre les organismes concernés et l'Etat.

Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page

Figure 2. - Processus de co construction d'une réforme
Les acteurs de ce macro-processus sont les bureaux métiers de l'Etat (DSS), les services métiers des OSS, les services SI des OSS et le bureau en charge du pilotage SI à la DSS (4C). Il est essentiel que l'ensemble de ces acteurs soit informé dès la première étape des travaux en cours.
Le processus décrit ci-dessus se déroule en de multiples instances, une par réforme, mesure ou évolution. En conséquence, afin de garantir cohérence et efficacité, une méthodologie projet doit être mise en place au cas par cas avec ses instances de gouvernance et de pilotage.

Règles et principes à suivre par l'ensemble des OSS

- dès l'identification de pistes de réformes/mesures l'ensemble des acteurs sont informés ;
- chaque acteur est associé à l'instruction et partage sa contribution - Le matrice de responsabilité est présentée en annexe (cf. annexes 5) ;
- un avis sur l'impact SI et l'impact usager est donné en cours de l'instruction et cet avis remonte avant la prise de décision ;
- les analyses SI sont centrées sur l'identification du ou des impact(s) majeur(s) entraînant un « grand projet SI » qui devrait être pris en compte dans les modalités d'application de la réforme/mesure.

4. Pilotage des actions du SSSI et gestion des dispositifs mutualisés

Les OSS sont amenés à collaborer pour mettre en œuvre le plan d'action du SSSI et gérer dans le temps les dispositifs mutualisés. L'ensemble des parties est tenu de respecter les principes suivants.
En matière de gouvernance pour chaque action du SSSI

Règles et principes à suivre par l'ensemble des OSS

- un OSS est identifié comme chef de file pour chaque action du SSSI ;
- l'OSS chef de file désigne un chef de projet. Il est l'interlocuteur privilégié de la DSS et des autres caisses sur la mise en œuvre de cette action. Son rôle est de coordonner les travaux entre les différents OSS et, le cas échéant, d'autres contributeurs ;
- les OSS contributeurs à l'action désignent chacun un correspondant projet qui coordonne les acteurs métier et techniques au sein de leur organisme. Ils rendent compte au chef de file ;
- un référent est désigné au sein de la DSS pour chaque action. Il est garant du cadre et le fait évoluer si nécessaire. Il coordonne les différents acteurs concernés par l'action, au sein des OSS ou des différentes administrations ;
- par exception, la DSS peut aussi être chef de file sur des actions du SSSI, elle assure alors la coordination entre les différents OSS ;
- le chef de file définit une comitologie propre à son projet. Il peut solliciter auprès de la DSS des arbitrages dans les instances du SSSI (Copil ou Costrat) ;
- le chef de file assure le suivi de la mise en œuvre de l'action dont il a la charge et le présente dans les instances du SSSI.

En matière de pilotage des actions du SSSI
Doivent être systématiquement partagés dans les instances de pilotage et formalisés :

- les enjeux, les objectifs priorisés et les livrables attendus ;
- les critères de réussite du projet et les indicateurs élaborés avec les organismes ;
- la feuille de route : le macro-planning et les jalons afférents permettant de piloter le projet pour chacun des acteurs et de faire remonter les alertes. La feuille de route doit contenir les actions à réaliser par chacun des acteurs, y compris les décisions attendues, la prise d'un texte réglementaire, etc. ;
- les responsabilités aux regards du RGPD et de la loi informatique et libertés (LIL) (6) ;
- l'organisation de l'exploitation (run) à mettre en place ;
- les modalités de financement du projet ;
- les modalités de financement de la maintenance et des évolutions à mettre en œuvre ;
- un bilan (métier et technique) sur le projet.

En matière de gestion des dispositifs mutualisés et sur la fonction d'opérateur
Lors de la mise en place d'un nouveau dispositif mutualisé, un mode projet est mis en place. Une fois le projet de mise en place finalisé, de nouvelles modalités de gestion sont à définir. Les normes et bonnes pratiques (7) dans le domaine sont à mettre en œuvre par l'opérateur
Les OSS peuvent être amenés à construire et opérer plusieurs dispositifs mutualisés. Ils cumulent alors leur mission cœur de métier avec une fonction d'opérateur au service de tout ou partie du reste des OSS, qu'il s'agisse d'activités en interbranches ou en interrégimes. Les règles et principes ci-dessous ont pour but de simplifier et rationnaliser la comitologie associée à la gouvernance et au pilotage des projets communs et des dispositifs mutualisés et de clarifier la gestion budgétaire. Les règles suivantes sont déclinées dans chaque OSS exerçant une fonction d'opérateur.

Règles et principes à suivre par l'ensemble des OSS

- la gouvernance des missions relevant de la fonction opérateur est distincte de la gouvernance mise en place pour les missions de base de l'OSS ;
- des budgets sont définis spécifiquement pour les missions relevant de la fonction opérateur, avec un niveau de fongibilité budgétaire défini dans le cadre des conventions d'objectifs et de gestion ;
- une comitologie spécifique est mise en place pour assurer les arbitrages à un niveau stratégique et opérationnel ;
- au niveau stratégique, un comité est mis en place pour procéder aux arbitrages tant au niveau des projets (build) que du pilotage des dispositifs mutualisés (run). Le DSI de l'OSS et la DSS participent à cette instance ;
- au niveau opérationnel, des domaines regroupant plusieurs dispositifs communs peuvent être définis selon une logique fonctionnelle ou technique. Une comitologie est alors définie pour chaque domaine.

5. Urbanisation/architecture d'entreprise

La démarche d'urbanisation est un outil d'aide à la décision au service de la maîtrise du SI et de sa transformation. A cet égard, cette démarche doit être mise en œuvre de manière systématique dans l'ensemble des OSS :

- pour appuyer l'évolution stratégique du SI ;
- à l'occasion des projets de construction et de mise en place de nouveaux services ;
- pour faciliter la gouvernance des données.

Afin d'animer cette démarche, une communauté d'urbanistes ou architectes d'entreprise est créée. Le GIP-MDS en assure l'animation et le secrétariat.
Cette communauté a pour mission de contribuer à la mise en œuvre des principes suivants :

- un retour d'expérience sur un besoin équivalent doit être systématiquement recherché au niveau inter-régimes et interbranches pour éclairer toute décision de transformation ;
- une homogénéité sémantique (vocabulaire commun) est systématiquement recherchée. Les données manipulées sont recensées par chacun des organismes ;
- le niveau de responsabilité de chaque organisme est établi et partagé en matière d'administration des données. Toute évolution tient compte de l'objectif de standardisation et de facilitation de l'accès et de partage des données ;
- les référentiels respectent les exigences suivantes : pérennité, unicité, intégrité et fiabilité ;
- la réutilisation, la mutualisation voire l'intégration et/ou l'achat de solutions disponibles au sein des OSS sont privilégiées par rapport aux développements spécifiques. Les développements, le cas échéant, sont partagés aisément entre tous les organismes. Par ailleurs une maîtrise d'ouvrage capable de s'investir doit être clairement identifiée ;
- lors des projets de refonte des SI des organismes, le principe de découplage (modularité) et de réutilisation des composants est systématiquement recherché au sein des organismes ;
- une logique de mutualisation des composantes du SI back-office métiers (mutualisation des traitements métier) doit être systématiquement recherchée lorsque la réglementation et les contraintes liées au patrimoine applicatif le permettent et que le « retour sur investissement » est démontré ; les organismes restent cependant maîtres de leur intégration ;
- la diversité technologique est maîtrisée en inter-régimes et en interbranches ;
- les SI sont pensés « ouverts » et orientés « service », notamment à travers une stratégie « d'Apisation » (8) et une méthodologie partagée d'échange de la donnée afin d'anticiper les besoins d'échange de données entre organismes de la protection sociale ou avec leurs partenaires externes.

Les actions suivantes, s'inscrivant majoritairement dans un calendrier court, ont été retenues :

- partager les démarches d'urbanisation des OSS (urbanisation des données en particulier). Identifier, le cas échéant, les principes directeurs à déployer dans les OSS ;
- partager les différentes vues du SI des OSS. En interrégimes et en interbranches, leur mise à disposition doit permettre de positionner les demandes d'évolution et/ou de refonte dans un environnement existant métier et ainsi faciliter les études dans une logique de mutualisation et les prises de décision afférentes ;
- actualiser le document « Connaitre les SI transverses de la protection sociale ». Les OSS utilisent ce document pour les formations de leurs informaticiens ;
- proposer, le cas échéant, des mutualisations sur des périmètres fonctionnels prioritaires et capacités technologiques permettant de faciliter la transformation numérique des OSS en cible ;
- appliquer les principes d'urbanisation (listés dans le cadre de coopération et de gouvernance) guidant la mutualisation des SI.

A terme, les OSS définiront « la cible commune du SI » de la sécurité sociale et en déduiront une trajectoire globale de mutualisation.
Une action sera, le cas échéant, réévaluée au cours du SSSI en fonction des opportunités afin de renforcer le pilotage de l'évolution des SI partagés :

- établir une documentation du SI de la sécurité sociale partagée, actualisée et utilisée.

6. Les communautés

- plusieurs communautés sont identifiées et doivent respecter les règles et principes suivants : A minima, l'ensemble des caisses nationales du régime général et de la CCMSA participe aux communautés ;
- les régimes spéciaux peuvent se faire représenter par un membre de l'union nationale des régimes spéciaux pour chaque communauté. Il relaie alors des travaux dans les autres régimes ;
- chaque communauté réalise annuellement un rapport présentant les modalités de travail pendant l'année et les livrables réalisés et le soumettent au Costrat SSSI.

Le SSSI décline les cinq axes en orientations stratégiques organisées par thématique. Les orientations décrites ci-après ont fait l'objet d'un intérêt exprimé par les OSS qui ont participé aux travaux de refonte du SSSI.

Le SSSI 2023-2027 comporte 27 orientations stratégiques, toutes déclinées en actions. Afin de faciliter la mise en œuvre de ces orientations stratégiques, des actions concrètes ont été identifiées, permettant d'aboutir à des livrables sous la responsabilité d'un chef de file. Chacune des actions a été positionnée sur une macro-trajectoire indicative de mise en œuvre, permettant de prioriser et cadencer l'atteinte des objectifs poursuivis par chaque orientation stratégique. Le plan d'action du SSSI, synthétisé en annexe, est présenté et suivi en Costrat et Copil SSSI.
Les chantiers ont été structurés de la manière suivante :

- court terme : Mise en œuvre des projets courts permettant des gains rapides sur la période 2023-2027 ;
- moyen terme : Finalisation des grands projets prioritaires pour 2025-2026 ;
- long terme : Cible de la sécurité sociale pour 2027.

Certaines actions nécessitent d'être investiguées pendant la mise en œuvre du SSSI et seront ainsi réévaluées dans le cadre de gouvernance prévue à cet effet.

1. Axe 1 - Automatisation des processus et valorisation des données cœur de métier

Contexte
Le précédent SSSI a permis une avancée importante sur la mise en commun des données de référence partagées entre plusieurs OSS. Ces référentiels et outils d'échange des données, essentiels dans le SI de l'ensemble des OSS, participent à l'amélioration de la relation à l'usager et alimentent la création de parcours usagers simplifiés. L'enrichissement et la fiabilisation de ces référentiels restent des enjeux clés de la modernisation de la sécurité sociale.
En complément de l'évolution des référentiels existants, de nouvelles données de référence ont été identifiées comme des cibles de mutualisation permettant également de répondre aux enjeux de simplification de la relation à l'usager. L'objectif est d'enrichir progressivement les bases de données interbranches et les dispositifs d'échange afin de faciliter la circulation des données entre organismes et d'intégrer de nouvelles capacités de valorisation de celles-ci. La multiplication des échanges de données à l'intérieur et en dehors de la sphère sociale impose un renforcement des capacités d'exposition des services applicatifs (API) des OSS. La mise en œuvre de dispositifs industriels d'échange de données reste à généraliser.
Cet axe s'inscrit pleinement dans le cadre de la nouvelle politique interministérielle de la donnée de l'Etat.
Déclinaisons SI des ambitions métiers
Dans la continuité du précédent SSSI, l'axe 1 vise à enrichir les référentiels de données et développer de nouveaux services en valorisant les données interbranches. Les données seront exposées aux partenaires dans l'objectif de généraliser le principe du « dites-le nous une fois », développer les politiques de lutte contre la fraude et de réduction du non recours au droit. Une attention particulière sera portée à la qualité des référentiels et à la robustesse des échanges interbranches. Le pilotage des référentiels et de leurs usages sera ainsi renforcé. Une plus grande modularité des SI des OSS sera encouragée et intégrée lors des stratégies de construction des nouveaux dispositifs de la sécurité sociale. Ces orientations devront permettre de répondre aux enjeux de modernisation, de performance et de sécurisation des échanges inter applicatif.
Structure
3 thématiques portent 6 orientations stratégiques déclinées en plan d'action.

1.1. Données de référence et référentiels

Objectifs de la thématique
Cette thématique poursuit la mise en commun des données tout en construisant de nouvelles capacités technologiques. Elle s'appuie sur les réalisations du précédent SSSI (données individus, ressources/prestations, pièces justificatives, entreprises) pour les enrichir et assurer leur mise en qualité. En comparaison du précédent SSSI, une attention particulière sera portée sur la coordination des OSS pour harmoniser et assurer une cohérence des données utilisées dans les processus métier.
Un des facteurs contribuant le plus au sentiment de complexité administrative des Français et des entreprises est le fait de devoir sans cesse fournir à l'administration des informations que celle-ci connaît déjà, alimentant l'incertitude et le non-recours aux droits alors que les principes du « dites-le nous une fois » (DLNUF) ont été ouverts par le législateur. Si les efforts de modernisation entrepris dans le cadre du SSSI précédent ont conduit à une meilleure circulation des données pour réduire cette complexité, l'administration pourrait désormais franchir un pas de plus en allant au-devant des démarches des citoyens en les informant pro activement lorsque les informations qu'elle détient lui permettent d'anticiper celles-ci, voire en envisageant à terme une attribution automatique des droits pour les dispositifs qui le permettraient.
Détail des orientations stratégiques
Trois grandes orientations permettent de répondre aux ambitions de cette thématique :

1. Mettre en place, faire évoluer et développer les usages des référentiels utiles aux métiers ;
2. Avoir une architecture fonctionnelle partagée et utilisée et une organisation des données urbanisées ;
3. Avoir une administration de la qualité des données efficace et agnostique (9).

1.2. Dispositif d'échanges de données

Objectifs de la thématique
Dans la continuité du précédent SSSI, l'ambition de cette thématique est de construire un socle technique structurant les échanges notamment au travers des dispositifs standardisés comme le DGE ou l'API « Sécu ».
La mise en place du dispositif de gestion des échanges (DGE) a permis en particulier de positionner cet outil comme point de passage unique sur lequel, en cible, s'appuieraient les échanges multilatéraux, permettant ainsi d'acquérir une lisibilité d'ensemble de ces échanges et leur inscription dans des protocoles techniques partagés.
Cette ambition est étendue aux échanges entrant et sortants avec l'extérieur de la sphère sociale pour répondre aux besoins d'interactions croissantes de la sécurité sociale avec d'autres acteurs publics (Pôle Emploi, DGFiP, collectivités…) en relation avec les mêmes publics d'usagers.
Détail des orientations stratégiques
Cette thématique propose 2 orientations stratégiques :

1. Echanges sortants : Développer une offre de service API « Sécu » et instaurer sa gouvernance ;
2. Echanges entrants : Organiser les échanges entrants de données avec les autres sphères publiques.

S'agissant des échanges de données entre OSS, leur prise en charge est assurée dans le cadre des dispositifs existants détaillée au § 1.1 du présent axe.

1.3. Valorisation des données cœur de métier

Objectifs de la thématique
Une politique de la donnée portée par le Premier ministre dans le cadre d'un comité interministériel a été définie. Cette politique est déclinée en feuilles de route au sein du ministère chargé de la sécurité sociale (16). L'axe 1 du présent schéma stratégique est aligné sur ces orientations.
Cette thématique vise à formaliser auprès des OSS les travaux à réaliser dans le cadre des feuilles de route impliquant les OSS et, sur le plan technique, à établir un cadre facilitant la convergence des initiatives de valorisation des données en se focalisant sur les usages métier à fort impact.
L'accélération de la mise en œuvre des échanges de données et de leur valorisation implique également la connaissance, par l'ensemble des acteurs, du potentiel transformateur de la circulation des données, et de leur pleine utilisation dans les processus métier : sécurisation des échanges et du paiement à bon droit (lutte contre la fraude par exemple), allègement des tâches (réduction des pièces justificatives à traiter et vérifier par exemple), amélioration du service rendu (repérage des situations de non recours au droit par exemple).
Trop souvent les acteurs continuent à solliciter auprès des usagers des pièces justificatives dont l'utilité n'est pas forcément ré interrogée de manière systématique au regard des progrès accomplis par le numérique.
Détail des orientations stratégiques
Cette thématique propose deux orientations stratégiques :

1. Faciliter le partage, la valorisation et l'ouverture des données de la sécurité sociale ;
2. Etablir un cadre commun facilitant la convergence des initiatives big data.

2. Axe 2 - Transformation numérique de la relation à l'usager

Contexte
La sécurité sociale met à disposition de ses usagers (personnes physiques ou entreprises) les services et informations nécessaires pour réaliser leurs démarches et connaître leurs droits et obligations. Bien que la dématérialisation des processus de chaque OSS ait permis de transformer la relation avec les usagers, les efforts de simplification des démarches devront être poursuivis, tout en assurant l'accessibilité à tous des services de la sécurité sociale.
Portées en premier lieu par les OSS eux-mêmes, les actions s'inscrivent dans le cadre d'une politique volontariste de l'Etat conduite par la direction interministérielle du numérique (DINUM). Cette dernière pilote au niveau national une politique d'amélioration des démarches administratives et d'introduction des méthodes de design centrées sur l'utilisateur.
Ces actions sont également soutenues et renforcées dans le cadre du présent SSSI avec pour objectif de garantir la transversalité (parcours usager de bout en bout) et la cohérence des actions au sein de l'écosystème de la sécurité sociale.
Au cours de ses différents moments de vie ou de ceux de ses proches, un usager est appelé à utiliser les services proposés par l'ensemble des branches de la sécurité sociale. La création d'une expérience unifiée et centrée sur les besoins des usagers, s'abstrayant des structures internes, est un objectif majeur à l'origine de la création de dispositifs transverses comme le portail numérique des droits sociaux (PNDS : mesdroitssociaux.gouv.fr) ou les parcours interbranches.
Déclinaisons SI des ambitions métiers
Les orientations stratégiques portées par l'axe 2 répondent à des enjeux de transformation de la relation à l'usager avec l'ambition de décloisonner les parcours. Cette volonté se concrétise par le développement de parcours interbranches appuyés en particulier sur le développement du PNDS. Le présent SSSI porte également l'ambition de simplifier les démarches et d'améliorer l'accès aux services de la sécurité sociale, quels que soient les profils des usagers. La nécessité de mettre l'usager au centre du développement des solutions numériques de la sécurité sociale se traduit également par un besoin d'accroître la connaissance des usagers, afin d'être plus proactif et d'anticiper les évolutions de situations, notamment à travers la recherche utilisateur (19).
Structure
Les actions à conduire portent sur deux axes, vecteurs de forte plus-value :

- d'une part, poursuivre le déploiement d'une offre dématérialisée en portant une attention particulière à sa qualité et son accessibilité afin d'améliorer l'expérience utilisateur ;
- d'autre part, concevoir des services et des espaces communs et intelligents pour simplifier la vie de l'usager en lui garantissant une vision 360° au sein de l'écosystème de la sécurité sociale.

2.1. Stratégie portail

Objectifs de la thématique
L'enjeu principal de l'axe 2 est d'améliorer l'expérience utilisateurs sur l'ensemble des portails de la sécurité sociale, en appuyant plus particulièrement les efforts sur le développement de l'accessibilité aux publics en situation de handicap.
Détail des orientations stratégiques
Cette thématique s'articule autour de deux orientations :

1. Améliorer l'expérience usager sur les portails de la sécurité sociale ;
2. Améliorer l'accessibilité des services proposés aux usagers.

2.2. Relation à l'usager

Objectifs de la thématique
Le constat de la diversité des portails numériques au sein de la sphère sociale, associé à un développement constant des usages numériques conduit à la nécessité de structurer une stratégie transverse garantissant une meilleure fluidité des parcours usager de bout en bout. Il convient de garantir une vision 360° de l'usager au sein de l'écosystème de la sécurité sociale, globale, unifiée et sans couture. Les ressources numériques doivent permettre de masquer la complexité organisationnelle de la sécurité sociale, en offrant des parcours unifiés.
Détail des orientations stratégiques
Trois grandes orientations permettent de répondre aux ambitions de cette thématique :

1. Mettre en place des parcours usagers homogènes et interbranches ;
2. Mettre en place des outils sécurisés d'échange dans les territoires ;
3. Développer l'offre du portail numérique des droits sociaux (mesdroitssociaux.gouv.fr).

3. Axe 3 - Modernisation des outils des agents

Contexte
Les OSS ont réalisé des investissements importants pour apporter des services numériques à leurs différents publics. Il a pu être supposé que la rénovation du « front office » allait porter les refontes du « back office ». Dans les faits, il y a souvent eu un découplage des deux transformations pour accélérer le développement des portails à destination des usagers, laissant des outils parfois obsolescents et insuffisamment ergonomiques aux agents.
Déclinaisons SI des ambitions métiers
La modernisation des outils des agents représente un enjeu essentiel de la transformation numérique de la sécurité sociale. Elle concoure à l'amélioration du service aux usagers et constitue un levier d'amélioration des conditions de travail des agents des caisses et d'efficience (notamment pour éviter les saisies en double ou automatiser des tâches). La modernisation des outils des agents doit aussi s'inscrire dans un contexte de renforcement des collaborations entre les OSS, où les enjeux d'interopérabilité sont importants.
Structure
Cet axe propose deux nouvelles thématiques relatives à l'environnement numérique de travail et à la refonte des outils cœur de métier des agents. La thématique sur les fonctions support est poursuivie, réaffirmant et renforçant les ambitions de précédent SSSI.

3.1. Environnement numérique de travail

Objectifs de la thématique
Les besoins croissants de collaboration entre les branches sont entravés par l'hétérogénéité des postes de travail et l'absence de solutions collaboratives partagées. Par ailleurs, le déploiement massif du télétravail lors de la crise sanitaire du COVID-19 a accéléré la transformation de l'environnement numérique de travail. Le SSSI 2023-2027 amorce ainsi une convergence à long terme des postes de travail en proposant la constitution d'une offre de services commune et le partage de solutions collaboratives pour répondre à des cas d'usage précis. Une offre de service sera proposée aux OSS ne disposant pas de la taille critique suffisante.
Détail des orientations stratégiques
Cette thématique est scindée en deux orientations stratégiques permettant de traiter les différents composants de l'environnement numérique de travail :

1. Faire converger le socle technique de l'environnement numérique de travail ;
2. Doter les utilisateurs d'un environnement numérique ergonomique et collaboratif.

3.2. SI fonctions support

Objectifs de la thématique
Les systèmes d'information des fonctions support sont concernés, de façon hétérogène entre les branches et les domaines, par l'obsolescence. Comme il ne s'agit pas du cœur de métier des caisses, les projets peuvent être moins fortement priorisés, alors qu'ils sont essentiels à la robustesse des organismes. L'objectif de cette thématique est de définir une cible à long terme des domaines SIRH et budgétaro-comptable et de définir la trajectoire d'évolution pour les cinq années à venir. La transformation numérique des fonctions support pourra donc s'inscrire au-delà de la prochaine période conventionnelle. L'enjeu est de moderniser les processus des fonctions support et de contribuer à la réalisation gains d'efficience, en capitalisant sur les investissements déjà réalisés par certaines caisses. Par ailleurs, les caisses doivent finaliser la bascule de leur flux éditiques dans le projet concentration et rationalisation éditique pour unification des services, dit CEREUS, dispositif interbranches de l'éditique à la sécurité sociale. Celui-ci devra faire évoluer ses moyens et son organisation pour répondre à la baisse de 25 % des flux éditiques prévues sur la période.
Détail des orientations stratégiques
Cette thématique regroupe des projets majeurs de mutualisation des fonctions support sur les domaines SIRH, budgétaro-comptable et éditique.

3.3. SI cœur de métier à destination des agents

Objectifs de la thématique
Les OSS ont chacun leur stratégie d'évolution de leur SI cœur de métier traduite dans les trajectoires financées des dernières COG. Cependant les caisses ont rencontré de nombreuses difficultés. Si de vraies réussites ont permis la mise en œuvre de réformes structurantes, l'avancement de ces refontes est globalement limité.
Détail des orientations stratégiques
L'objectif stratégique porté par le SSSI est d'industrialiser la production pour garantir la régularité du paiement, tout en s'assurant du bon traitement des dossiers présentant des atypies ou nécessitant un accompagnement personnalisé.
Il s'agit donc de réaliser un partage entre les différentes branches sur les stratégies d'évolution des SI cœur de métier et de dé commissionnement des chaînes historiques.

4. Axe 4 - Transformation de la fonction SI

Contexte
Les feuilles de route d'évolution des SI représentent plusieurs centaines de milliers de jours de projet. Les stratégies d'externalisation « faire » ou « faire faire » des OSS sont des leviers essentiels de l'organisation des projets. Les forts taux d'externalisation constatés font peser sur des risques de perte progressive d'expertise, de dépendance croissante à l'égard des fournisseurs, et à des difficultés de développement des compétences rares. Ces risques pourraient se renforcer avec les tensions grandissantes sur le marché de l'emploi des profils numériques.
Déclinaisons SI des ambitions métiers
Poursuivre la transformation numérique de la sécurité sociale nécessite de sécuriser et développer des compétences clés pour la bonne réalisation des ambitions qu'elle s'est fixée. Au-delà des initiatives d'amélioration de l'attractivité de la sécurité sociale, le SSSI doit permettre des synergies en matière d'achat et de gestion de la relation fournisseurs. En support à ces travaux, les actions déjà entreprises sur le pilotage de la fonction SI et son modèle de coûts ont à poursuivre et à amplifier.
Structure
Les thématiques d'achats SI et valorisation des compétences SI sont relancées dans ce SSSI. Les actions sur le pilotage économique SI se poursuivent dans cet axe.

4.1. Valorisation des compétences et attractivité

Objectifs de la thématique
Cette thématique a pour ambition d'identifier des synergies en interbranches pour favoriser le recrutement et la fidélisation des profils rares au sein de la sphère sociale. La mise en commun des démarches de Gestion des emplois et des parcours professionnels et mixité des métiers de l'informatique (GEPPMM - précédemment GPEC) doit permettre de définir et partager des leviers RH (exemple : plan de formation, marque employeur, stratégie de recrutement, etc.).
Détail de l'orientation stratégique

4.2. Optimisation des achats SI

Objectifs de la thématique
En complément des compétences internes, le levier de l'externalisation permet d'augmenter la capacité à faire des OSS. La croissance des feuilles de route a conduit à de forts taux d'externalisation. L'un des enjeux majeurs est de garder la maîtrise des SI tout en utilisant ce levier de la façon la plus maîtrisée. Un retour d'expérience sur le pilotage contractuel des développements et de la maintenance est à réaliser pour permettre d'améliorer l'efficience des prestations acquises et objectiver les coûts. Plus largement, les stratégies d'achat des différents segments d'acquisition (matériels, logiciels, prestations intellectuelles…) seront réinterrogées pour identifier les synergies puis décliner opérationnellement des stratégies d'achat communes et pertinentes.
L'UCANSS aura vocation à se renforcer dans le développement des achats informatiques en commun, en parallèle aux actions de mutualisation que pourront conduire de leurs côtés les DSI des caisses entre elles.
Détail des orientations stratégiques
Cette thématique s'articule autour de deux orientations :

1. Développer les achats informatiques communs en renforçant la collaboration DSI/UCANSS ;
2. Objectiver le pilotage des prestations.

4.3. Pilotage économique SI

Objectifs de la thématique
La performance globale des OSS repose largement sur leur capacité informatique à relever les enjeux d'efficience, de qualité de service, de réactivité de mise en œuvre d'une politique publique. Les ressources associées affichent un dynamisme soutenu par le coût récurrent des systèmes existants et des projets. Il convient par conséquent de mettre en œuvre les outils adéquats de pilotage de la performance de la fonction SI. L'Etat et les OSS s'accordent sur la nécessité de progresser dans l'identification des coûts SI au service d'une véritable capacité d'analyse et de maîtrise.
Les attentes et ambitions auxquelles doit répondre le modèle de coût sont les suivantes :

- mieux mesurer « en coût complet » la valeur des services informatiques rendus aux métiers de la sécurité sociale, dans une perspective de services partagés et communs promue par le SSSI ;
- mieux piloter les coûts IT en les identifiant plus finement afin d'accompagner les transformations des SI ;
- améliorer la qualité du suivi notamment sur les projets les plus structurants ;
- refondre le benchmark informatique pour mieux comparer les activités informatiques des OSS.

Le groupe benchmarking informatique actif déjà depuis de nombreuses années devient la communauté des contrôleurs de gestion SI. Son travail sera valorisé auprès des directions des caisses en COSTRAT SSSI.
Détail des orientations stratégiques
Afin d'améliorer le pilotage de la fonction SI, les travaux sur le déploiement du modèle de coûts du Cigref doivent être poursuivis. Le SSSI 2018-2022 s'était donné pour objectif de faire converger les OSS afin de disposer d'un outil commun pertinent d'analyse des coûts. La convergence devait se réaliser autour du modèle Cigref 2014, structuré autour de l'approche activity based costing (ABC) déclinée pour la fonction informatique (26).
Cet objectif a été poursuivi par les OSS, qui ont pour certains déployé le modèle dans son intégralité et sont en train de migrer vers des versions actualisées du modèle (Cigref 2018 ou 2022) : il s'agit de la MSA et de ACOSS ; d'autres ont partiellement déployé le modèle : il s'agit de la CNAV et la CNAF (intégration de la notion d'activités). Pour la CNAM enfin, un projet d'intégration du modèle Cigref est en cours.

5. Axe 5 - Modernisation et résilience des capacités technologiques

Contexte
Les caisses du régime général sont désignées opérateurs de service essentiels (OSE) (27). Les enjeux en matière de souveraineté, de continuité d'activité, de cybersecurité sont majeurs. Toute interruption de la mission de sécurité sociale aurait un impact significatif sur le fonctionnement de l'économie et de la société française. L'excellence opérationnelle est clairement recherchée. En revanche, elle doit s'accompagner d'une démarche de responsabilité sociale et environnementale. Les OSS sont d'ores et déjà engagés à travers le déploiement d'un référentiel piloté par l'UCANSS dont le volet de responsabilité numérique est à promouvoir dans le cadre de ce SSSI.
Déclinaisons SI des ambitions métiers
L'excellence opérationnelle recherchée passe par la poursuite de la démarche d'urbanisation initiée dans le précédent SSSI. De façon plus spécifique, un CERT (28) sera mis en place pour améliorer la réponse des OSS à toute cyberattaque. L'exploitation informatique doit également viser une plus grande agilité, à laquelle peut contribuer les technologies cloud. Cette transformation doit s'accompagner d'une évolution des centres d'hébergement informatique pour diminuer les coûts et limiter l'impact environnemental. Le numérique responsable sera principalement traité sous sa dimension environnementale. On retrouve les actions pour favoriser l'inclusion numérique dans l'axe 2 du SSSI.
Structure
Ce nouvel axe du SSSI renforce donc la démarche d'urbanisation, de souveraineté et de résilience, de cybersécurité et numérique responsable.

5.1. Souveraineté numérique et résilience

Objectifs de la thématique
La stratégie de l'Etat, à travers la doctrine « cloud au centre », invite l'ensemble des acteurs publics à engager une transition à long terme sur l'utilisation de services cloud, tout en optimisant leurs capacités d'hébergement. Une étude d'opportunité a été menée au cours du SSSI précédent. Elle a permis de recenser l'existant et de confirmer l'intérêt d'une mutualisation des capacités d'hébergement et des services associés.
Les objectifs sont doubles :

- rationaliser les centres d'hébergements pour optimiser les coûts, gagner en flexibilité, réactivité et sécurité ;
- bénéficier d'une offre de services cloud pour la sécurité sociale tout en assurant sa gouvernance et le développement de ses usages.

Détail des orientations stratégiques
Deux orientations permettent d'y répondre :

1. Disposer d'un cloud « sécurité sociale » ;
2. Préparer la transition vers les nouvelles offres cloud.

5.2. Cybersécurité

Objectifs de la thématique
Les enjeux associés à la cybersécurité sont devenus majeurs dans l'environnement mondial actuel. Il est essentiel que les OSS soient performants dans la surveillance, la détection et la réponse aux attaques cybernétiques.
Les responsables de la sécurité des SI (RSSI) des OSS sont déjà en forte interrelation avec des échanges hebdomadaires. La communauté des RSSI est instaurée sur la base de l'organisation existante.

- l'ensemble des OSS contribue à la communauté des RSSI. Chaque OSS désigne un représentant ;
- la CNAM assure l'animation et le secrétariat ;
- la communauté des RSSI réalise annuellement un rapport présentant un bilan de son activité au cours de l'année écoulée : modalités de travail, livrables produits, points d'attention et d'alerte, points d'arbitrage le cas échéant. Elle le soumet au COSTRAT SSSI.

Les caisses nationales du régime général (hors CNSA pour le démarrage du CERT) et la CCMSA mettent en place un dispositif mutualisé permettant de gagner en sécurité en constituant une entité dédiée, nommée CERT (30) Social. Celui-ci s'inscrit dans le cadre plus large défini par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) (31) pour sécuriser tous les secteurs d'activité sensibles pour le pays.

Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page

Figure 7. - Articulation entre les différents acteurs de l'écosystème CERT Social
Le CERT Social a pour mission de représenter le secteur social dans l'écosystème de gestion des attaques cybernétiques en France et en Europe et faciliter la coopération en matière de gestion de crise en animant le réseau d'experts cyber du secteur social Une force d'action rapide pourra être créée pour intervenir le plus efficacement possible auprès des équipes des membres.

- la surveillance des attaques cybernétiques fait l'objet d'une mutualisation entre les branches à travers le CERT Social. Une gouvernance est mise en place pour piloter les évolutions du dispositif ;
- les branches donnent toute la transparence au CERT Social sur les attaques qu'elles subissent ;
- les caisses s'entraident en cas d'attaques majeures ;
- le CERT Social informe la DSS des cyberattaques ayant un impact majeur sur la continuité du service public de la sécurité sociale ;
- la DSS préside le COSTRAT annuel du CERT Social et approuve les évolutions stratégiques du CERT Social.

Cette nouvelle thématique a été ajoutée au SSSI pour répondre aux enjeux de cybersécurité au sein de la sécurité sociale. Dans un contexte de multiplication des échange et d'ouverture du SI à ses différents partenaires, la sécurité sociale souhaite sécuriser son SI, réduire les risques d'intrusion et de corruption, améliorer sa réactivité et la force de la réponse en cas de cyber malveillance. En parallèle, le SSSI devra sécuriser l'atteinte des objectifs des directives étatiques en matière de cybersécurité.
Détail de l'orientation stratégique

5.3. Numérique responsable

Objectifs de la thématique
La responsabilité sociétale des organisations (RSO), est définie dans le référentiel porté par l'UCANSS pour l'ensemble des OSS « comme la contribution des organisations aux enjeux du développement durable. Le S pour “Sociétale” inclut notamment les questions environnementales et éthiques ainsi que les relations avec les communautés locales et les parties prenantes. Le O “d'Organisations” met l'accent sur le rôle conjoint de l'ensemble des acteurs et notamment de l'Etat. La RSO est une manière d'établir une connexion entre la stratégie d'un organisme public et les grands enjeux qui l'entourent. Concrètement, une démarche RSO consiste à prendre en compte concomitamment les questions économiques, sociales et environnementales dans ses missions, sa gouvernance, son fonctionnement et les relations avec ses parties prenantes pour adopter les meilleures pratiques possibles. Elle contribue ainsi au progrès social et à la protection de l'environnement. »
Le SSSI s'inscrit pleinement dans cette démarche pour promouvoir son volet sur le numérique.
Détail des orientations stratégiques

Annexes
1. Glossaire

2. Bilan détaillé du SSSI 2018-2022
2.1. Rappel de la structure du précédent SSSI

La direction de la sécurité sociale (DSS) et les OSS ont identifié 18 orientations stratégiques devant permettant de répondre aux grands enjeux communs de la sécurité sociale et de soutenir les réformes de l'Etat. Le SSSI 2018-2022, qui se veut « le socle de la stratégie SI interbranches et inter-régimes » est structuré en quatre axes :

- axe 1 - Automatisation des processus métiers ;
- axe 2 - Relation 360° à l'usager ;
- axe 3 - Modernisation des outils des agents ;
- axe 4 - Optimisation des organisations et des compétences en matière de SI.

Un cadre de coopération et de gouvernance complète ces quatre axes pour favoriser la coopération des OSS autour d'une gouvernance interbranche, de bonnes pratiques et de règles partagées.

2.2. Bilan d'ensemble

Le SSSI 2018-2022 a mis le SI et le numérique au cœur de la modernisation de la sécurité sociale en impulsant une vision pluriannuelle commune entre l'Etat et les OSS. Ce précédent exercice a permis de lancer des projets majeurs, en particulier de mutualisation, et a fait des SI partagés ou transverses un axe clé de la transformation numérique de la sécurité sociale. Il représente une avancée certaine par rapport à la première édition de 2013-2017, avec notamment l'introduction d'un cadre de coopération entre l'Etat et les OSS.
Il a été couronné de nombreux succès sur lesquels la sécurité sociale peut capitaliser. En particulier, le cadre de coopération et de gouvernance qui a mis en place une gouvernance à deux niveaux avec des comités stratégiques et des comités de pilotage. Par ailleurs, ce cadre a permis de déployer une politique RGPD (37) et a fait émerger une vision commune des principaux SI transverses de la sécurité sociale (38) Les chantiers des trois premiers axes du SSSI ont permis d'atteindre certains des objectifs que s'était fixés la sécurité sociale (39), notamment sur :

- l'axe 1 - Automatisation des processus métier avec la construction d'un dictionnaire des objets métier, la spécification et le développement d'une API (40) sécu et la mise en place du Dispositif Ressources Mensuelles (DRM) ;
- l'axe 2 - Relation 360° à l'usager où 100 % des démarches ont été dématérialisées sur le TOP 250 et où le portail numérique des droits Sociaux (PNDS) a été progressivement enrichi techniquement, fonctionnellement et en informations ;
- l'axe 3 - Modernisation des outils des agents avec la mutualisation des capacités éditiques des différentes caisses (CEREUS [41]) ;
- l'axe 4 - Transformation des organisations au travers d'achats SI communs ainsi que la création du grand prix de l'innovation pour mettre en lumière les avancées de la sécurité sociale en matière de SI.

Bien que ces chantiers aient atteint leurs objectifs, le périmètre de certains projets a été réévalué en cours d'exercice pour harmoniser le niveau d'ambition porté par chacun des axes. La priorisation et la réévaluation des chantiers a permis de moduler l'ambition portée par le SSSI selon la capacité à faire des OSS.
De plus, l'ensemble des OSS s'accorde sur un besoin d'évolution de la nature des chantiers. Deux visions se distinguent. La première définit le SSSI comme un cadre pertinent pour mener des projets de mutualisation technologiques interbranches ne nécessitant pas d'arbitrages politiques. La seconde doit fixer des ambitions stratégiques à long terme guidant la transformation numérique de la sécurité sociale. La DSS et les OSS confirment que ces deux objectifs sont pertinents et doivent être poursuivis.

2.3. Bilan par axe

Axe 1 - Automatisation des processus métiers
Ce premier axe avait pour objectif d'installer les prérequis d'une architecture capable de soutenir des échanges de données croissants entre les OSS. Ils s'articulaient autour de deux thématiques : « Données de références « sécu » et référentiels » et « Dispositifs d'échanges de données ».
Les actions portées par cet axe ont majoritairement été menées avec succès, contribuant à décrire et renforcer les capacités d'échange d'informations entre les OSS :

- un dictionnaire des données communes a été construit, précisant les principales données utilisées ;
- un répertoire de référence des pièces justificatives (RRP) a été mise en œuvre permettant d'indexer les pièces disponibles dans le SI de la CNAV et la MSA ;
- le développement et la mise en place du DRM ;
- l'API « sécu » a été déployée permettant de constituer une passerelle d'échange entre la sphère sociale et l'extérieur en masquant la complexité organisationnelle des organismes de protection sociale (OPS) et en affranchissant le client d'une multitude d'accrochages techniques.

Les actions portées par l'axe 1 du SSSI 2018-2022 ont majoritairement été réalisées et ont permis d'établir un socle qui pourra être enrichi dans le prochain exercice. Elles sont à poursuivre notamment pour renforcer l'utilisation de l'API sécu mais aussi pour renforcer le niveau de qualité de certaines données de références.
Axe 2 - Relation 360° à l'usager
Cet axe devait aboutir à une stratégie portail transverse de la sécurité sociale permettant de masquer la complexité de l'organisation et rendre ainsi les parcours de vie (usager) fluides, en s'appuyant notamment sur le portail numérique des droits sociaux mais également sur les portails des OSS. Les actions en lien avec le PNDS sont à poursuivre pour enrichir la gamme de services proposés et poursuivre l'élaboration et la simplification des parcours transverses (naissance et perte d'un proche). Par ailleurs, l'observatoire des démarches développé par la DINUM (42) sur le TOP 250 des démarches a permis d'accélérer la simplification, la mise en qualité et l'accessibilité des démarches de la sécurité sociale ayant les plus fortes volumétries. Ses principales démarches ont été dématérialisés. Cette action sera appliquée sur l'ensemble des prochaines démarches de la sécurité sociale.
Axe 3 - Modernisation des outils des agents
Ce troisième axe a permis de faire avancer la modernisation des outils des agents. Les actions en lien avec les outils de la fonctions supports ont été réalisées avec succès. La mutualisation de l'éditique est un réel succès pour l'ensemble des OSS avec le projet CEREUS qui a permis de rationaliser et unifier les moyens de l'activité éditique de la sécurité sociale. De plus, une étude d'opportunité a été réalisée sur la mutualisation du SIRH (43). Concernant le SI budgétaro-comptable, la cible visant à déployer l'outil de la CNAV dans l'ensemble des OSS est en cours d'instruction et devra livrer ses conclusions avant la fin 2022. La CNAV propose d'ores et déjà une offre de service à certains régimes spéciaux. En revanche, les travaux sur le modèle de coût SI sont toujours en cours et devront se poursuivre sur le volet infrastructure. Le partage de connaissance sur les sites de secours et l'étude d'opportunité d'un « cloud sécu » ont toutes deux été réalisées. Seule une offre de service mutualisée de cloud sera proposée dans le SSSI 2023-2027 sur cette base.
Axe 4 - Transformation des organisations
Ce dernier axe s'articulait autour de deux thématiques pour d'une part améliorer les interactions entre OSS, notamment sur les questions d'achat SI, qui sont généralement porteuses de gains financiers importants, et d'autre part traiter de la question de la fidélisation des compétences SI pour mener la transformation numérique de la sécurité sociale. De nombreuses actions ont été entreprises sur la valorisation des compétences SI. Ces travaux ont permis de partager et d'enrichir les bonnes pratiques sur les achats IT. Le SSSI portait également des initiatives visant à accroître la capacité des organismes à disposer d'expertises pointues et à capitaliser les connaissances techniques. Elle se sont concrétisées par la mise en place :

- d'une communauté SI pour fédérer les DSI et les directions métiers des OSS autour de thématiques à forts enjeux ;
- d'un grand prix de l'innovation pour promouvoir les démarches d'innovations des organismes avec des catégories dédiées au numérique.

3. Outils de pilotage du SSSI
3.1. Tableau de pilotage par axe

Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page

3.2. Tableau de pilotage par thématique

Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page

4. Outils de pilotage des schémas directeurs des systèmes d'information des caisses

A minima pour la « revue des projet sensibles », l'Etat dispose :

- d'un point de situation sur l'avancement du projet avec le planning actualisé ;
- du reste à consommer sur le projet et du reste à faire ;
- de l'alignement du périmètre avec les enjeux initiaux du projet.

A minima pour le bilan annuel du SDSI, l'Etat dispose :

- des estimations de consommation et de besoin en j/h internes, des coûts externes en prestations et autres ;
- avec le rappel des coûts SDSI initiaux, SDSI réévalués, l'exécution de l'année N, l'exécution sur le SDSI et le reste à faire sur le SDSI ;
- pour l'ensemble des projets du SDSI.

Le bilan est aussi l'occasion d'établir un bilan annuel budgétaire :

- distinguant les grandes catégories de dépenses informatiques : « Run » et « Build » ;
- identifiant les dépenses de fonctionnement, de prestations externes et des dépenses d'investissement.

5. Matrice de responsabilité du macro processus de co-construction des politiques publiques

R : Responsable, A : Autorité, C : Contributeur, I : Informé.

6. Synthèse du plan d'action du SSSI
6.1. Cadre de gouvernance

6.2. Axe 1 - Automatisation des processus et valorisation des données cœurs métier

6.3. Axe 2 - Transformation numérique de la relation à l'usager

6.4. Axe 3 - Modernisation des outils des agents

6.5. Axe 4 - Transformation de la fonction SI

6.6. Axe 5 - Modernisation et résilience des capacités technologiques

(1) API : Interface de programmation.
(2) CEREUS : Concentration et rationalisation éditique avec unification des usages.
(3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).
(4) https://www.gouvernement.fr/rapport/11979-rapport-sur-la-politique-publique-de-la-donnee-des-algorithmes-et-des-codes-sources.
(5) https://www.data.gouv.fr/fr/datasets/feuilles-de-route-ministerielles-sur-la-politique-de-la-donnee-des-algorithmes-et-des-codes-sources/.
(6) Loi informatique et liberté.
(7) Exemple de normes de référence : ISO/CEI 20000, ITIL. NB : la certification ne constitue pas un préalable demandé dans le cadre du SSSI.
(8) L'APIsation désigne le recours systématique aux APIs dans un système d'information grâce à une bibliothèque de services dans laquelle les utilisateurs vont « se servir ». Elle permet aux utilisateurs internes et externes d'accéder aux services de l'entreprise et aux développeurs, d'économiser du temps et des ressources.
(9) Agnostique : se rapporte à une ressource généralisée au point d'être interopérable au sein de systèmes distincts, à savoir indépendante de ceux-ci. Le terme peut désigner non seulement un logiciel ou un élément matériel, mais également des pratiques ou des processus métier.
(10) DRM : dispositif de ressources mensuelles ; RGCU : répertoire de gestion des carrières uniques ; SNGI : Système national de gestion des identifiants.
(11) Exemple : mise en œuvre du principe « dites-le nous une fois » sur la demande d'un relevé d'identité bancaire.
(12) DGFiP : Direction générale des finances publiques.
(13) DSN : Déclaration Sociale Nominative.
(14) Dicodo : Dictionnaire commun des données.
(15) Ficoba : Fichier des comptes bancaires et assimilés, opéré par la direction générale des finances publiques (DGFiP) ; HubEE : Hub d'Echange de l'Etat : service développé par la direction interministérielle du numérique (DINUM) assurant le transport sécurisé des demandes issues des démarches en ligne vers le service en charge de leurs instructions.
(16) Feuille de route de la politique à mener en matière de données, d'algorithmes et de codes sources au sein du ministère des solidarités et de la santé de septembre 2021 et feuille de route ministérielle des données, des algorithmes et des codes sources 2021 - 2023 pour ce qui concerne le ministère du travail, de l'emploi et de l'insertion.
(17) SNGI, RGCU, RNIAM, RFOS, DAD-e…
(18) POC : Proof 0f Concept : Une preuve de concept ou validation de principe, ou encore démonstration de faisabilité. Il s'agit d'une une réalisation ayant pour vocation de montrer la faisabilité d'un procédé ou d'une innovation.
(19) recherche utilisateur : activité qui consiste à effectuer un recueil d'informations sur les besoins des utilisateurs, leurs habitudes, leurs contextes d'usage, leurs émotions, leurs pensées, et tout ce qui servira à comprendre leurs motivations.
(20) « Mobile first » : technique et stratégie marketing consistant à privilégier l'usage du mobile (téléphone en premier lieu, mais également tablette) dans le cadre d'un accès à l'information.
(21) CARSAT, CPAM, CAF, travailleurs sociaux, assistants sociaux des hôpitaux, Maisons France Service.
(22) Firmware : dans un système informatique, un firmware (ou micrologiciel1, microprogramme1,2, microcode, logiciel interne ou encore logiciel embarqué) est un programme intégré dans un matériel informatique (ordinateur, photocopieur, automate (API, APS), disque dur, routeur, appareil photo numérique, etc.) pour qu'il puisse fonctionner.
(23) Middleware : un middleware est un logiciel qui fournit aux applications des fonctionnalités et des services communs que le système d'exploitation n'offre pas. La gestion des données, les services d'application, la messagerie, l'authentification et la gestion des API sont des services communément gérés par les solutions de middleware.
(24) Run times : un environnement d'exécution ou runtime est un logiciel responsable de l'exécution des programmes informatiques écrits dans un langage de programmation donné.
(25) GEPPMM : Gestion des emplois, des parcours professionnels et de la mixité des métiers.
(26) approche ABC/approche des coûts par activité liant les ressources comptables de la DSI et les services rendus aux « clients » de l'informatique, au travers de la valorisation des activités et processus type de l'informatique.
(27) A date, la MSA n'est pas désignée mais son inscription à la liste des OSE devrait se faire sur la période 2023-2027.
(28) CERT : Computer emergency response team ou centre d'alerte et de réaction aux attaques informatiques.
(29) L'approche FinOps vise à monitorer et optimiser les coûts en matière de cloud.
(30) CERT : Computer emergency response team ou centre d'alerte et de réaction aux attaques informatiques.
(31) L'ANSSI est un service de l'Etat à compétence nationale, rattaché au secrétariat général de la défense et de la sécurité nationale (SGDSN). Elle est chargée d'assister le Premier ministre dans l'exercice de ses responsabilités en matière de défense et de sécurité nationale. Elle apporte son expertise et son assistance technique aux administrations et aux entreprises. Elle assure également un service de veille, de détection, d'alerte et de réaction aux attaques informatiques.
(32) Massive open online course, formation en ligne ouverte à tous.
(33) Il ne s'agit pas du même exercice que celui consistant à faire un bilan carbone « officiel » (Bilan Carbone®).
(34) Plan d'occupation des sols, c.à.d. représentation du SI qui s'appuie sur une cartographie fonctionnelle du SI.
(35) https://ecoresponsable.numerique.gouv.fr/publications/referentiel-general-ecoconception/.
(36) Cette orientation devra être mise en œuvre dans le respect du droit à la déconnexion.
(37) RGPD : Règlement général sur la protection des données.
(38) Listes des principaux SI transverses : DRM, RGCU, SNGI, RRP, etc.
(39) Pour plus de détail, voir la partie « 2.3. Bilan par axe ».
(40) API : Interface de programmation.
(41) CEREUS : Concentration et rationalisation éditique avec unification des usages.
(42) DINUM : Direction interministérielle du numérique.
(43) SIRH : Système d'information ressources humaines.
(44) L'analyse ou matrice SWOT, de l'anglais Strengths (forces), Weaknesses (faiblesses), Opportunities (opportunités), Threats (menaces), ou en français Analyse FFOM pour forces, faiblesses, possibilités, menaces, est un outil de stratégie d'entreprise permettant de déterminer les options offertes dans un domaine d'activité stratégique.