La CNOPS assainit les codes d’accès au système d’information de l’AMO
Conformément aux Directives Nationales de la Sécurité des Systèmes d’information (DNSSI), émanant de l’Administration de la Défense Nationale et à l’article 24 de la loi 09-08 relative à la protection des personnes...
Communiqué de presse
La CNOPS assainit les codes d’accès au système d’information de l’AMO dans le respect de la règlementation en vigueur
Conformément aux Directives Nationales de la Sécurité des Systèmes d’information (DNSSI), émanant de l’Administration de la Défense Nationale et à l’article 24 de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données sensible dans le domaine de la santé, la CNOPS a procédé à l’assainissement de la base des codes d’accès à son système d'information accordés aux Mutuelles bénéficiaires de la délégation de gestion au titre de l’AMO-secteur public.
Cette mesure intervient après une mise à jour des codes d’accès de la MGPAP ayant permis de constater que 36 utilisateurs n’ont pas de relations juridiques avec cette Mutuelle et ne figurent pas dans la liste des déclarations de ses employés au titre de l’AMO-secteur public. De plus, la plupart de ces utilisateurs sont affectés, selon la MGPAP, à des collectivités territoriales sans en apporter la preuve, alors que ces utilisateurs ont accès au système d’information de la CNOPS ; ce qui constitue une violation à la Convention de délégation de gestion et une entorse à la loi 09-08 et au Dahir de 1958 portant statut général de la Fonction publique tel qu’il a été amendé et complété.
Etant gestionnaire et responsable de l’AMO secteur public, la CNOPS a décidé d’assainir sa base de codes d’accès à son système « Esquif » et a gelé l’accès de ces 36 utilisateurs à son système d’information AMO, tant leur relation juridique avec la MGPAP n’est pas établie.
Parallèlement, la MGPAP a décidé de charger des employés d'une société privée de tracer dans le même système d’information des dossiers de maladie et de leur permettre de consulter des données personnelles ainsi que des informations sensibles sur l'état de santé des assurés et de leurs ayants droit. Cette mesure constitue une violation de l'article 4 de la Convention de délégation de gestion liant la CNOPS aux Mutuelle stipulant que : « les Mutuelles ne peuvent charger un tiers d’accomplir une partie ou la totalité de leurs missions », ainsi que des dispositions de la loi 09-08 et des DNSSI émanant de l’Administration de la Défense Nationale
La CNOPS a saisi la MGPAP depuis février 2014 pour interdire au personnel de cette société privée l’accès à son système d’information. Ayant à l’esprit la nécessité de garantir la permanence du service public, la CNOPS a accordé à la MGPAP un délai supplémentaire d’un mois malgré son refus de se conformer à la réglementation en vigueur.
Il est à rappeler que les Directives de la Sécurité des Systèmes d’Information stipulent que : « L’accès des utilisateurs aux ressources (réseaux, système d’exploitation ou applications informatiques) passe obligatoirement par une identification et une authentification individuelle". "Un examen périodique des droits attribués est nécessaire. Suite à cet examen, les comptes des utilisateurs ayant, à titre d’exemple, quitté l’entité, ou les comptes redondants doivent être supprimés.
De même, l’article 24 de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel stipule que « Les responsables du traitement des données sensibles ou relatives à la santé doivent prendre les mesures appropriées pour empêcher l’accès de toute personne non autorisée aux installations utilisées pour le traitement de ces données et de garantir que seules les personnes autorisées puissent avoir accès aux données visées par l’autorisation.
Quant à la décision de la MGPAP de restreindre les horaires d’accueil des assurés entre 14 et 16h30, elle viole le principe de la continuité des services publics prévue par l'article 154 de la Constitution, la circulaire du Premier Ministre publiée le 22 Avril 2011 sur l’accueil et l’orientation des usagers dans les établissements publics ainsi que la convention de délégation de gestion qui lie la CNOPS aux Mutuelles au titre de la Couverture Médicale de Base.
La Caisse Nationale des Organismes de Prévoyance Sociale regrette l'acharnement de la MGPAP, contrairement à toutes les mutuelles signataires de la Convention de délégation de gestion, à faire fi les dispositions légales en matière de gestion de l'AMO et à violer les Directives nationales en matière de sécurité des système d'information,