Informatique de l'assurance maladie : la Cour des comptes dénonce un pilotage à vue
"Réformite" aiguë de l'exécutif, désorganisation des services, gestion approximative des moyens : dans son rapport sur la Sécurité sociale, la Cour des comptes dézingue la DSI de la caisse nationale d'assurance maladie.
L'une des plus grosses "boutiques" informatiques de France ne sort pas grandie du dernier rapport de la Cour des comptes sur la situation de la Sécurité sociale. Certes, la charge de la rue Cambon ne constitue pas réellement une surprise : depuis quelques mois, le marché bruissait des échos d'audits menés par la Cour des comptes. Et de leurs résultats peu brillants. Il n'en demeure pas moins que le bilan dressé par la rue Cambon est sévère. Peu d'éléments trouvent grâce aux yeux des auditeurs qui ont mandaté des experts (comme le cabinet de conseil Sterwen) pour auditer les SI de la CNAMTS. La Cour critique tant l'Etat, incapable de mettre en place une stratégie claire, que la DSI de la CNAMTS (Caisse Nationale d’Assurance Maladie des Travailleurs Salariés), écornée pour son incapacité à se conformer aux meilleures pratiques, mais aussi pour sa gestion des moyens pour le moins approximative.
La première critique de la Cour dédouane pourtant la DSI de l'organisme d'une partie de sa responsabilité : elle cible l'incompréhension des enjeux informatiques par l'exécutif. "Le Parlement adopte fréquemment des mesures législatives en matière d’organisation et de prise en charge des soins qui s’imposent aux deux branches (maladie et accident du travail, NDLR), peut-on lire dans ce rapport. La préparation et la mise en œuvre réglementaire de ces mesures incombe à l’administration centrale, qui devrait aussi éclairer le gouvernement quant à leur faisabilité technique. Or, il est très rare que les études d’impact de ces mesures, quand elles existent, analysent ou garantissent leur faisabilité technique et fixent un calendrier réaliste pour leur mise en œuvre". Bref, les hauts fonctionnaires et l'étage politique, taxés par la Cour de "méconnaissance" des contraintes informatiques, avancent sans vraiment se soucier de la piétaille informatique, priée de suivre.
Calendrier bousculé et prise de risques
Le résultat de cette "créativité" législative ? Une belle pagaille au sein des systèmes d'information de la CNAMTS. Année après année, "la CNAMTS assure dans l’urgence des modifications souvent complexes qui concernent aussi bien de nouvelles prestations que des modifications de tarifs ou de critères de liquidation. Pour les réaliser, elle doit interrompre d’autres développements informatiques, décalant d’autant les plans de travail, ou recourir à des prestataires extérieurs inégalement aptes à maîtriser la complexité du système d’information et ce au risque d’erreurs de développement." On ne saurait être plus clair : la DSI de la CNAMTS a beau, dans son schéma directeur, établir un plan d'évolution de ses systèmes, celui-ci est sans cesse perturbé. Pire, selon la Cour, ces réformes décidées dans l'urgence conduisent la DSI à prendre des risques : "pressée par des échéances irréalistes, la CNAMTS met parfois en service des fonctionnalités sans assez respecter ses propres normes de test et de validation."
Pour autant, et malgré ces contraintes, la Cour des comptes ne délivre pas un satisfecit à la direction informatique de la CNAMTS. Loin s'en faut. "De telles difficultés (celles évoquées ci-dessus, NDLR) seraient moindres si la branche avait modernisé son système d’information en utilisant les solutions les plus récentes, de nature à en garantir la flexibilité. Or, si la modernisation du parc d’équipement a été considérable, quoique parfois tardive, les logiciels utilisés, eux, ont continué à être juxtaposés, adaptés tant bien que mal aux exigences du moment, sans la rénovation radicale qui aurait apporté la flexibilité souhaitable." Là encore, la Cour montre du doigt la responsabilité de la tutelle, qui doit négocier une convention pluriannelle d'objectifs et de gestion (dite COG) avec chaque branche. Et, à chaque COG, doit correspondre un schéma directeur informatique (SDI). Voilà pour la théorie. La pratique en est bien éloignée, explique la rue Cambon. "Le projet de SDI 2007-2009 (lié à la COG correspondante, NDLR) ne fut transmis pourtant que fin 2007 à la tutelle, qui ne répondit qu’en septembre 2008, de manière critique et pertinente, mais trop tardive pour être utile", écrivent les auditeurs de l'Etat. Un ratage qui suivait un avenant au schéma directeur précédent lui-même porté disparu. Autrement dit, depuis 2004, aucun document ne formalise les engagements de la CNAMTS en matière d'informatique pour répondre aux objectifs fixés par la tutelle ! Malgré les engagements du ministère, mi-2010, la COG 2010-2013 de la branche maladie n'est pas encore signée, et aucun schéma directeur "cohérent" ne l'accompagne. Autrement dit, l'informatique de l'assurance maladie navigue largement à vue.
60 années-informaticien de retard sur les projets
De cette situation, découle un constat sévère de désorganisation. Si la Cour des comptes relève certains progrès réalisés sur le volet production, elle étrille la direction de projets - sujet il est vrai complexe - de la CNAMTS. Un sujet clef car la DSI assure en permanence la maîtrise d'œuvre de 130 à 200 projets importants (nouvelles applications ou refontes majeures) et apporte plus de 2 000 modifications significatives par an aux applications utilisées. "Un tel
volume de travail appelle une planification et un suivi particulièrement attentifs. Ces derniers ont commencé à être formalisés à partir de 2001, mais la DDSI (direction déléguée des systèmes d’information de la CNAMTS, NDLR) a attendu 2009 pour les optimiser en rapprochant les ressources disponibles des charges prévisibles", relève la rue Cambon. Qui ajoute : "au printemps 2009, la DDSI n'avait pas encore une vision directe de sa capacité et de son calendrier de maîtrise d’œuvre. Il fallait recouper plusieurs documents pour esquisser une vue globale des calendriers, du reste à faire et des interdépendances entre les projets. Sur la base de 220 jours ouvrés par agent, le retard était alors estimé à 60 années-informaticien. Aucun état d’avancement n’était renseigné pour environ un tiers des projets. Un consultant de la CNAMTS soulignait que près de 70 % des projets en cours de réalisation présentaient un retard de livraison, certains dépassant 24 mois. La maîtrise des interdépendances
entre projets parallèles demeurait fruste."
Parmi ces projets en retard, la Cour des comptes cite la mise en place des référentiels unifiés (référentiel national individu basé sur le numéro d'inscription au répertoire de l'INSEE, référentiel des offres de soins, répertoire partagé des professionnels de santé), la généralisation de la Carte Vitale ou encore le projet de tarification à l'activité dans les hôpitaux. Un dossier où l'ampleur des développements à réaliser a "été considérablement sous-estimée", selon la Cour. Programmée pour 2005, cette réforme est depuis repoussée d'année en année. A ce jour, l'échéance est fixée à... 2013.
Gérer l'urgence, plutôt que piloter le changement
Bref de nombreux voyants sont au rouge vif. Et l'arrivée de réformes impromptues - qui se traduisent par de nouveaux projets - n'aide pas la DSI à sortir de ce que les consultants ont coutume d'appeler le "mode pompier". Illustrant la nasse dans laquelle l'informatique de la CNAMTS se trouve emprisonnée, la Cour des comptes écrit : "La situation serait encore plus tendue si la CNAMTS n'avait pas différé sine die le lancement, ne serait-ce qu'au stade de la maîtrise d'ouvrage, de modernisations dont l'absence prolongée obère cependant la productivité de la branche."
Premières réactions de la DSI de la CNAMTS |
Face à un audit sévère qui s'annonçait, la direction informatique de la CNAMTS a pris de premières mesures pour remettre d'aplomb son organisation. Cette dernière a notamment commandé au cabinet Compass un audit de ses coûts informatiques "au regard des pratiques du marché", s'est équipée d'un outil de gestion des incidents et des problèmes, d'une nouvelle solution de supervision réseau et d'un logiciel de gestion des configurations et des changements des équipements réseau. Une régulation des applications locales - celles développées par les caisses régionales ou primaires, parfois en doublon avec ses propres activités si on en croit la Cour des comptes - est également en cours. |
Et la Cour d'appeler la CNAMTS à se rapprocher des bonnes pratiques de l'industrie en matière de gestion des changements, d'organisation de la sécurité ou de maîtrise de la qualité des données. Sur ce dernier point, évidemment central pour une activité comme celle de la CNAMTS qui manipule des volumes considérables, le rapport s'étonne du fait qu'il n'existe que peu de responsables des données, "le métier même d’administrateur de données n'ayant été que récemment introduit à la CNAMTS".
Eclatement des équipes et travail en doublon
Sans surprise, la Cour termine son petit tour du propriétaire en écornant sévèrement la gestion des moyens au sein de la DSI. Notamment la gestion des moyens humains. Le rapport parlant clairement des contre-performances de la DSI tant en termes de qualité que de productivité. Comme le note la Cour, ceci s'explique largement par la très forte dispersion des équipes informatiques : "bien que l’architecture informatique soit nationale et que son homogénéité soit recherchée de longue date, les quelque 3 366 informaticiens de la branche sont répartis entre plus de 150 villes ou sites, au sein des caisses nationale, régionales et primaires. Certes, leur nombre est en légère baisse depuis 2004. Mais certains d’entre eux continuent à travailler seuls, à des centaines de kilomètres des équipes, souvent fractionnées, auxquelles ils appartiennent ou pour lesquelles ils œuvrent." Comme le note la Cour, si des regroupements interrégionaux de sites de production ont bien eu lieu, ils ont été bien plus timides du côté des équipes, par crainte des conflits sociaux.
Pire : les auditeurs relèvent que les quelque 2000 agents de la DDSI à la Caisse nationale et les 1 600 informaticiens des caisses primaires et régionales travaillent souvent sur... les mêmes sujets. Autrement, les mêmes travaux applicatifs sont effectués plusieurs fois par des équipes différentes. "Certes, la maintenance et la sécurité des quelque 100 000 postes de travail du réseau justifient une partie de ces effectifs (ceux des caisses primaires et régionales, NDLR). Mais ces agents sont en majorité affectés au développement d’applications locales qui sont soit concurrentes d’outils nationaux, soit répliquées sans être toujours mises en commun", se désole la Cour des comptes. Qui ne parvient pas à chiffrer précisément ce gaspi, avançant juste un ordre d'idées de dizaines de milliers d’heures de travail (soit plusieurs millions d’euros) consacrées à des travaux qui devraient, logiquement, être mutualisés.
200 prestataires en régie, hébergés "à grands frais"
Sans oublier le choc en retour de cet éparpillement des moyens. Car, dans le même temps, la DSI de la caisse nationale pallie ses propres insuffisances de moyens en hébergeant "en permanence et à grands frais" près de 200 salariés de prestataires extérieurs. En février dernier, la CNAMTS avait ainsi renouvelé pour trois ans ses contrats de régie avec des prestataires. Décomposé en six marchés à bons de commande, ce véritable Yalta de la régie profitait largement à Sopra, qui se voyait confier les missions relatives à l'infrastructure technique et applicative du SI et celles liées aux développements de composants techniques. Soit deux gros morceaux, même si le montant estimé de ces contrats n'est pas précisé. Bull, de son côté, s'adjugeait l'administration de la production, tandis que les missions d'assistance autour du réseau et de la téléphonie étaient confiées à Niji. Pour le volet sécurité, la CNAMTS avait retenu Solucom (mise en œuvre) et Devoteam (audit).