Un bug informatique à deux milliards et demi pour la Sécu

par Hervé Martin, Le Canard enchaîné, du 3 juin 2009

Le bug informatique qui a conduit à attribuer pendant vingt-cinq ans des trimestres gratuits de cotisation retraite à plus de 8 millions de salariés va coûter quelque 2,5 milliards à la Sécu. Soit une demi-année de déficit de l’Assurance-vieillesse. C’est ce que révèle un prérapport confidentiel que viennent de recevoir Eric Woerth, ministre du Bugdet, et son collègue du Travail, Brice Hortefeux. Ce document, rédigé par les Inspections générales des finances et des affaires sociales, raconte l’histoire de ce bug hors de prix. En fait, une simple « erreur d’arrondi » !

L’affaire commence en 1983, quand l’Unedic, qui indemnise les chômeurs, et la Caisse nationale d’assurance-vieillesse (Cnav), qui gère leurs cotisations de retraite, décident d’informatiser leurs échanges.

Les 51 jours du pékin

Selon le Code de la Sécu, un chômeur ayant été indemnisé pendant 50 jours par l’Unedic a droit à un trimestre de cotisation retraite auprès de la Cnav. Pour prétendre à un deuxième trimestre de cotisation, il lui faut au moins 100 jours d’indemnisation. S’il a été indemnisé 99 jours, il n’a droit qu’à un trimestre. C’est clair : on arrondit la durée d’indemnisation à la cinquantaine inférieure.

Mais les informaticiens de l’Unedic comprennent, eux, qu’il faut arrondir à la cinquantaine supérieure. Et ils mettent au point leur programme informatique de telle sorte qu’un chômeur indemnisé, par exemple, 51 jours sera signalé à la Caisse nationale d’assurance-vieillesse comme ayant cotisé deux trimestres. Et cela a duré un quart de siècle...

C’est par hasard que la Cnav découvre le pot aux roses, en 2008, alors qu’elle a entrepris de rénover son système informatique. Après concertation avec l’Unedic, elle sonne le branle-bas de combat. Le 5 mars 2009, Woerth et Hortefeux demandent discrètement une enquête. Quant l’affaire est révélée par Les Echos, le 12 mai dernier, l’estimation des sommes indûment versées par la Cnav ne dépasse pas 300 millions. « Personne ne doit être lésé ni avoir à rembourser quoi que ce soit », a déclaré Hortefeux, le 1er juin, au Canard. L’ancien mode de calcul continuera donc à s’appliquer non seulement aux retraités qui en bénéficient déjà, mais aussi aux salariés âgés de plus de 53 ans qui partiront à la retraite d’ici à 2017.

Mais l’erreur d’arrondi va coûter beaucoup plus cher à la Cnav. Le prérapport détaille l’ardoise : 600 millions de surcroît de dépenses déjà occasionnées par les retraités de la période 1984-2008, plus 1,2 milliard pour les dépenses prévisibles jusqu’à leur mort. A quoi il faut encore ajouter les effets de la décision des ministres de ne rien changer pour le moment. Soit environ 700 millions de mieux.

Et l’informaticien responsable de la boulette, il est à la retraite ?

Hervé Martin

Quelques bugs célèbres

Grande Bretagne, Triangle des Bermudes pour les données personnelles

Le 20 novembre 2007, le gouvernement britannique reconnaît la perte de deux disques contenant les données personnelles de 25 millions de Britanniques : le Trésor public britannique a égaré deux disques contenant la base de données des allocations familiales, soit les noms, dates de naissance, numéros de sécurité sociale et coordonnés bancaires des bénéficiaires [1].

Ross Anderson, professeur en sécurité informatique à l’université de Cambridge, assure qu’il s’y attendait. « Avec d’autres experts, nous n’avons cessé de prévenir le gouvernement contre le développement d’immenses systèmes centralisés, comme le Child Database recensant tous les enfants britanniques, leur histoire scolaire, sociale et médicale. Ailleurs, le nouveau système informatique de la NHS [le service national de santé] va rassembler les informations de 50 millions de patients. Ces bases de données sont impossibles à sécuriser. Mieux vaut avoir un système fédéral, plus efficace et moins onéreux, où chaque organisation détient ses informations et communique avec les autres agences en cas de besoin mais il est difficile pour le gouvernement de renoncer à sa posture de Big Brother. A présent, des millions de données sont égarées et susceptibles d’être utilisées pour accéder à un compte bancaire sur Internet ou contracter un crédit. Espérons que ce scandale pousse l’exécutif à enterrer enfin le projet de carte d’identité destiné à ficher la nation entière ! » [2]

En septembre 2008, l’armée britannique reconnaît que des disques durs contenant les
adresses et coordonnées bancaires de 50 000 militaires ont été volés sur la base d’Innsworth (Gloucestershire). Plus récemment, en mai 2009, la BBC révèle qu’on y trouvait également les résultats d’enquêtes internes approfondies sur la vie privée d’environ 500 membres
de la Royal Air Force, dont certains de haut rang : usage de drogue, recours à des prostituées, aventures extra-conjugales, dettes, problèmes de santé...
 [3]

Kidnapping de dossiers médicaux aux USA

Le FBI a ouvert une enquête suite à une demande de rançon reçue par les autorités de l’État de Virginie. Celle-ci s’élève à 10 millions de dollars et concerne plus de 8 millions de dossiers médicaux qui ont été détournés, le 30 avril 2009, sur le site web du service chargé de surveiller l’usage des médicaments soumis à réglementation. Les dossiers contiennent quelque 35 millions de prescriptions, couplées aux numéros de Sécurité sociale et à l’adresse des patients. Le (les ?) pirate se dit prêt à les vendre si la rançon ne lui est pas versée. Le problème est d’autant plus aigu que le site Internet ne disposerait pas d’une sauvegarde de ces informations. [4]

In France, yes we can !

 Disparition de données médicales : le vol d’un ordinateur le 26 octobre 2008 dans un cabinet médical de Betz (Oise) a entrainé la disparition d’au moins 15 000 dossiers médicaux nominatifs non protégés [5].
A propos, qu’en est-il de la sécurisation des données médicales ? [6]

 Est-il besoin de rappeler qu’en juin 2007 des personnes extérieures à l’expérimentation ont pu accéder librement par Internet aux fichiers de Base élèves et se procurer tous les renseignements disponibles concernant les élèves [7] ?

 Sans oublier le récent “bug informatique” des Caf qui a pu laisser des souvenirs cuisants à plusieurs centaines de milliers de personnes.

Mais parmi les cyber-calamités françaises les plus remarquables la palme revient sans aucun doute au Stic qui recense des informations concernant des millions de personnes, avec un taux d’erreur évalué par la Cnil à 25 % [8].