« Nous sommes prêts à mutualiser notre SI avec d’autres caisses de retraite »

Le secteur de l’assurance vieillesse connaît de profondes mutations en France depuis une dizaine d’années. Les systèmes d’information sont en première ligne pour supporter une redistribution des missions et avec pour mot d’ordre la mutualisation des efforts. La Cipav, principale caisse de retraite des professionnels libéraux, vient ainsi de transférer une partie de son SI à l’Urssaf. En parallèle, elle s’est rebâtie un système d’information à l’état de l’art prêt à être partagé avec d’autres caisses de retraite.

---

Entretien avec Patrice Germain, DSI de la CIPAV

Comment décrire la Cipav, une des nombreuses caisses de retraite françaises, pour nos lecteurs qui sont pour certains encore assez loin de prendre la leur ?

La Cipav est la plus importante des caisses de retraite pour les professions libérales. Elle compte plus de 508 000 actifs pour plus de 171 000 retraités. La Cipav gère un grand nombre de professions libérales, 21 au total. Cela va de l’architecte au géomètre expert, de l’ostéopathe au moniteur de ski, et jusqu’à l’ingénieur conseil en informatique. Par ailleurs, il y a environ deux millions de personnes qui ont été au cours de leur carrière professionnelle cotisants de la caisse. Il y a sûrement parmi vos lecteurs des assurés chez nous.

Pouvez-vous nous rappeler comment s’organise le système de l’assurance vieillesse en France ?

En France, le système de retraite est complexe. Concernant le régime des salariés, il est piloté par la Cnav et l’Agirc-Arrco. Pour les professionnels libéraux, c’est la Cnapl qui pilote l’ensemble de leurs retraites et qui délègue cette mission de gestion à dix caisses de retraite apparentées à dix sections. Ces caisses sont des organismes de droit privé exerçant une mission de service public. Chacune a la pleine responsabilité de la gestion du régime complémentaire et de la valorisation des cotisations de ses assurés pour leurs droits futurs à la retraite. Parmi elles, la Cipav est la principale. Et si elle présente aujourd’hui un excédent structurel annuel et des réserves de l’ordre de 8 Md€, c’est bien grâce à ses propres décisions.

Non seulement le système est complexe, mais il doit aussi absorber les différentes réformes. Avec quelles conséquences sur les SI ?

Il y a eu surtout, pour ce qui concerne les systèmes d’information, un grand mouvement de mutualisation qui s’est enclenché. La Cipav s’y est inscrite pleinement et c’est d’ailleurs ce projet qui me l’a fait rejoindre en 2021. Cela s’est notamment traduit par la centralisation au niveau de l’Urssaf du recouvrement des cotisations pour les retraites de base et les complémentaires. La Cipav a été également la première, et la seule caisse de retraite de professions libérales à ce jour, à se raccrocher au RGCU [Répertoire de gestion des carrières unique, NDLR] qui centralise l’enregistrement de toutes les informations sur la carrière des assurés.

En parallèle de ces mouvements de mutualisation qui ont allégé notre SI, nous avons mené sa refonte complète, en le dédiant totalement à la principale mission qu’il nous reste, à savoir la gestion des retraites et la gestion du régime de prévoyance dont nous nous occupons pour les assurés Cipav. À l’état de l’art désormais, il est plus robuste et plus évolutif. Dans notre esprit, cela signifie qu’il est candidat à accueillir d’autres caisses de libéraux qui souhaiteraient profiter de notre maîtrise du sujet, là-encore dans un esprit de mutualisation dont nous serions cette fois la plateforme d’accueil.

Pour en revenir aux réformes de la retraite que vous évoquiez, nous avons pu vérifier, avec la dernière, que notre nouveau système d’information, que nous avons voulu très paramétrable, avait facilement absorbé les changements de mode de calcul qu’elle induisait.

Le SI de la Cipav a donc été allégé d’une partie transférée à l’Urssaf. Comment ont réagi, psychologiquement parlant, ceux de vos informaticiens qui étaient concernés ?

C’est une question essentielle parce que, effectivement, nous y sommes allés à fond. Cela veut dire que, lors des transferts vers l’Urssaf et le raccrochement au RGCU, il n’y a même pas eu de SI en miroir de notre côté. Des pans entiers ont vraiment disparu, et on sait combien les informaticiens sont attachés à leurs applications. Le transfert du recouvrement, notamment, a porté sur 40 % de notre ancienne activité à la Cipav. Dans ce cas, les informaticiens, mais aussi les métiers qui traitaient le sujet, ont été transférés à l’Urssaf. Un fort accent a donc été mis sur l’accompagnement des collaborateurs concernés sur le plan RH.

C’est une vraie transformation de l’entreprise qui s’est produite. Mais le projet porté par la direction générale est clair, et axé sur des objectifs qui se répercutent naturellement sur ceux de la DSI. Ce que je dis à mes collaborateurs [un peu moins de 40 informaticiens en interne, auxquels s’ajoutent des prestataires, NDLR] est simple : partout où c’est possible, dès qu’il y a une solution qui apparaît dans la sphère de la protection sociale, nous mutualisons. C’est normal car nous travaillons pour les assurés sociaux. Et lorsqu’il y a des investissements importants qui sont réalisés, qui apportent de nouveaux services, il est important qu’ils soient rentabilisés par l’adhésion d’un maximum d’acteurs de cette sphère. De notre côté, nous apportons notre pierre à l’édifice en construisant une solution qui vise l’excellence pour l’ensemble des caisses des professions libérales.

Ce transfert d’une partie du SI à l’Urssaf a-t-il été mené en mode big bang ?

Oui, et d’ailleurs ce n’est pas le seul projet concerné. En fait, durant cette période très courte d’à peine deux ans, il y en a eu principalement trois à mener : la refonte du système de gestion des prestations, le transfert du recouvrement à l’Urssaf, et enfin l’accrochage au RGCU. Dans cet ordre et avec une rapidité telle qu’elle a permis d’éviter les développements éphémères et donc d’économiser des moyens.

En ce qui concerne le SI, nous sommes repartis d’une feuille blanche, avec une refonte totale des processus et une ambition de mise à jour technologique. Nous avons laissé la partie cotisations dans l’ancien système, puisqu’elle était amenée à disparaître, et en septembre 2022, le nouveau SI a été mis en production avec un démarrage oneshot. En août, toutes les prestations ont été versées via l’ancien système, en septembre avec le nouveau.

La deuxième séquence a eu lieu en janvier 2023, avec le transfert du recouvrement à l’Urssaf. C’était un projet de nature très différente, avec des impacts plus importants de leur côté que du nôtre. Enfin, la troisième séquence, fin février, a concerné le RGCU. À la clé, il y a eu le transfert de nos historiques de cotisations pour le peupler avec les éléments de carrière en notre possession. Et à l’inverse, la mise en place de mécanismes pour aller y chercher tous les éléments de carrière de ceux qui nous demandent de gérer leur passage à la retraite et de valoriser leurs droits.

Que signifie « à l’état de l’art » dans votre esprit ?

Il y a d’abord une volonté, résumée en quelque sorte au fronton de la DSI avec ces trois mots clés : simplifier, simplifier et simplifier. Cela veut dire « peu de technologies », mais lorsqu’on en met une en œuvre, il faut être à jour en termes de versions, tout simplement pour s’éviter un maximum de problèmes d’obsolescence. Oracle 19 et Java 17, par exemple. Concernant les infrastructures, nous venons d’opérer leur déploiement sur des VxRail de chez Dell, donc des serveurs hyperconvergés avec une gestion automatisée de l’équilibrage de charges sur deux sites. Et pour l’architecture logicielle, c’est du micro-service. Nous faisons en sorte d’avoir une informatique robuste, bien faite, et sans fioritures. Je suis extrêmement attaché à servir les justes besoins. On évacue tout de suite ce qui coûte cher et ne servirait pas l’assuré au final.

Dans nombre d’entreprises, il y a un grand écart entre des mises en œuvre de technologies très récentes et d’autres beaucoup plus anciennes, obsolètes. Quand je dis que je veux que tout soit à jour, j’évite aussi des problèmes de recrutement de compétences qui sont évidemment moins rares que sur des technologies dépassées. Et de plus, les personnes que nous voulons attirer souhaitent travailler sur les plus récentes.

Vous évoquez deux systèmes redondés en onpremise. Quelles sont vos contraintes légales de ce côté ? Vous auriez pu aller dans le cloud ?

Oui, et la question s’est d’ailleurs posée avant que j’arrive. Mais j’ai confirmé le choix on-premise précédemment engagé. Dans le secteur de la protection sociale, avec les contraintes qui pèsent sur les données et notamment le RGPD, le cloud n’a de mon point de vue pas encore la maturité pour que nous y allions. Sans compter que, pour avoir étudié le sujet lorsque j’étais chez AG2R, on s’aperçoit rapidement que, sans cellule FinOps, le risque que les surcoûts excèdent les bénéfices sont réels. Cependant, je ne ferme pas la porte, et nous nous mettons en situation d’être cloud-ready, par exemple le jour où nos serveurs arriveront en fin de vie.

Il y a deux ans, dans ces colonnes, Jean-Baptiste Courouble, DSI de l’Urssaf, évoquait la création d’une sorte de cloud de la protection sociale en France pour ses acteurs. Ce projet avance-t-il ?

Ce type de démarche a du mal à voir le jour compte tenu des investissements à réaliser. Mais si l’environnement de la protection sociale met en place un cloud privé à horizon de deux ou trois ans, la Cipav s’inscrira bien sûr dans cette démarche de mutualisation. C’est dans nos gènes.

On peut être surpris et impressionné de la rapidité avec laquelle le SI de la Cipav a été restructuré. Il n’y avait donc pas de dette technique à traiter ?

Il est vrai que certains de mes collègues doivent composer avec l’obsolescence technique de leur patrimoine applicatif. Nous, nous avions la chance de disposer d’un SI plutôt à jour au niveau des technologies mises en œuvre. Mais surtout, le fait de nous concentrer sur un coeur de métier plus réduit nous a permis de refondre l’applicatif en repartant d’une page blanche. En nous appuyant sur des compétences internes reconnues, en recrutant des personnes que la teneur et la clarté du projet séduisaient, en nous appuyant sur un accompagnement pertinent, et avec comme mots d’ordre la simplicité, le concret et le pragmatisme, nous avons pu avancer assez vite.

Il y a vraiment des gens que ça intéresse de venir travailler sur le SI d’une caisse de retraite ? Des jeunes diplômés ?

J’en ai encore recruté cinq l’année dernière et deux cette année. Nous avons de nombreux atouts : un projet clair ; l’utilisation de technologies parfaitement à jour ; et puis une mission de service public qui fait écho aussi chez les jeunes, en tout cas une partie d’entre eux. Enfin, des circuits de décision extrêmement rapides : ici, une question cruciale peut avoir un arbitrage dans la journée.

Vous n’avez pas peur du vide ? Car une fois cette grande transformation opérée, vous n’allez plus avoir autant de grain à donner à moudre à ces jeunes recrues ?

Non. Déjà parce que notre univers bouge rapidement. Et j’espère qu’il y aura des projets de mutualisation avec d’autres caisses à mener autour de notre SI. Ce seront des vrais projets de transformation, avec des offres de services à contractualiser, une gouvernance à mettre en place, un niveau de service à assurer. Cela peut s’avérer extrêmement intéressant.

Ensuite, nous avons fait un appel assez large à la prestation pour mener à bien le projet initial. Et comme nous avons gardé en interne la maîtrise du SI, nous pourrons réduire les effectifs de la DSI en jouant sur le nombre de prestataires. Au final, sur un budget de la DSI d’un peu plus 12 M€, nous visons une répartition égale entre le run et le build, alors que ce dernier en représente actuellement les deux tiers.

Parmi les préoccupations des jeunes générations d’informaticiens, la sobriété numérique apparaît en bonne place. Quelles sont vos actions en ce sens ?

Déjà et fondamentalement, en construisant un SI robuste et à l’état de l’art, donc pérenne, et que l’on souhaite en plus mutualiser, on est dans la bonne direction. De plus, nous avons la chance de travailler avec des grands partenaires que nous sélectionnons aussi pour leur contribution sur les critères RSE. Ils ont tous des démarches de green IT, portant notamment sur les règles de codage, bien évidemment intégrées nativement dans nos développements. Nous avons par ailleurs des actions de réduction du nombre de nos environnements pour réduire notre empreinte de stockage, tout comme nos coûts, d’ailleurs. L’écologie est un combat plus facile à mener quand elle amène des économies !

Il y a eu récemment, notamment dans le secteur public, mais pas exclusivement, plusieurs affaires de fuites de données via des prestataires. Est-ce un sujet qui vous préoccupe ?

S’il y a un DSI pour qui ce n’est pas une problématique, je veux bien le rencontrer ! Cette question de la protection contre les cyberattaques et le risque de fuite de données est majeure. J’ai coutume de dire que la première mission de la DSI, c’est d’assurer le revenu que touchent ou toucheront dans le futur nos retraités. La lutte contre le risque cyber s’inscrit pleinement dans cette mission.

Après, elle n’est pas facile à appréhender dans sa globalité, et le risque zéro n’existe pas. L’avantage d’une petite maison comme la Cipav [178 personnes, NDLR], c’est qu’il n’y a pas à se poser la question de savoir ce qui est du ressort d’un DPO, d’un RSSI… En tant que DSI, je suis membre du comité de direction, et pleinement responsable des données personnelles que nous manipulons. On va toujours me demander mon avis et si on ne le fait pas, je le donne quand même, parce que mon rôle est aussi de sensibiliser la maison à la nécessité absolue de protéger les données. Ce n’est pas seulement de mettre en place des dispositifs techniques comme nous l’avons fait, avec un EDR, un XDR, un SOC externalisé, etc.

Nous formons aussi les utilisateurs en les confrontant à des cas concrets, en mettant à leur disposition des vidéos qui traitent des risques au bureau comme dans leur vie personnelle, en leur apprenant aussi qu’en cas d’erreur qu’ils auraient commise, mieux vaut alerter très rapidement mes équipes, etc. Enfin, parce qu’il faut bien prévoir que, malgré nos efforts, certaines attaques risquent d’aboutir, nous avons câblé l’année dernière un plan de réponse aux incidents pour gérer d’éventuelles situations de crise, y compris celles qui pourraient toucher des partenaires comme la Cnav ou l’Urssaf.

Pour terminer, il y a une vraie implication de nos partenaires. Dans les contrats que nous signons, il y a désormais systématiquement, à côté des plans d’assurance qualité qui décrivent le déroulé de la prestation et sa gouvernance, un complément qui s’appelle le PAS, pour plan d’assurance sécurité. Il décrit qui va se connecter aux données et par quels moyens, quels sont les moyens de sécurisation du lien, etc. Il y a là une vraie recherche de cohérence entre le fournisseur et le client face au danger commun des cybermenaces. Bien choisir ses partenaires et en limiter le nombre facilite bien sûr cette cohérence et cette résistance. 

Propos recueillis par François Jeanne / Photos : Maÿlis Devaux

---

« Sur une refonte totale de SI, travailler au forfait n’a pas de sens »

Dans le cadre de la refonte du SI de la Cipav, plusieurs ESN sont intervenues, et Patrice Germain a des idées bien arrêtées sur la manière de contractualiser dans un tel cas. « Mon expérience passée du sourcing m’a convaincu qu’il fallait réduire le nombre de partenaires si l’on voulait bien se connaître, se rassurer mutuellement en termes de délais à tenir ou de respect des fondamentaux de la cybersécurité. »

Mais surtout, il rejette l’idée du travail au forfait, inadaptée ici selon lui : « Sur un tel projet, c’est une hérésie. Cela entretient l’illusion qu’on sait exactement où l’on va aller au départ du projet, ce qui est évidemment faux, surtout quand on développe en agile. Autre erreur, il y a l’idée sousjacente que le prix est lui aussi connu et maîtrisé. En fait, c’est la machine à avenants assurée, et beaucoup de temps perdu à discuter de ce qui était ou pas compris dans le prix initial. Je préfère un cadre plus souple, en définissant seulement la valeur des unités d’oeuvre au départ. »

Patrice Germain joue donc la cohésion avec ses partenaires, dans un esprit « one team ». Et cela donne des résultats : « Quelques mois avant la fin du projet, au moment où, comme prévu et comme dans tous les projets de cette ambition, cela tanguait un peu, nous avons fait un point. Je les ai invités à se projeter à la fin du projet, quand nous l’aurions mené à bien ensemble, et quand eux-aussi pourraient l’inscrire fièrement sur leur CV. Cela nous a vraiment aidés à dépasser ce moment difficile. »

---

---

À LIRE AUSSI :

DSIN

DSI Philarmonique de l’année : Thierry Diméglio (Agirc-Arrco)

Pierre Landry

14 Avr

À LIRE AUSSI :

Data / IA

La Caisse des Dépôts s’inscrit dans l’écosystème de l’open data

François Jeanne

28 Juin