Approuvé et signé le 3 juillet dernier entre la CNAS et Gemalto, le contrat portant fabrication et déploiement de la carte de santé électronique comporte certaines zones d’ombre mises au jour après la dernière déclaration de M. Benzitouni selon laquelle «le cahier des charges relatif à la carte de santé CNAS comporte des contradictions». Il répondait à une question sur le rejet par la CNAS du dossier de soumission de HB Technologies où il précisait également que «malgré l’exigence d’une matière très résistante pour la composition de la carte, la CNAS a porté son choix sur le polystyrène, d’une durée de vie de 3 ans, contre une carte en polycarbonate, certes plus chère mais 3 fois plus résistante à l’usure, que nous leur avions proposée». Si l’on devait établir une comparaison avec la carte de santé française Vitale 2, sa durée de vie minimale est de 5 ans. Interrogé sur la nature des contradictions dont il faisait part, M. Benzitouni n’en dira pas plus. Approché, M. Boualem Touati, directeur des systèmes d’informations à la CNAS, n’en est pas moins muet sur la question et fera mine d’ignorer nos incessants appels à consulter, à titre d’information, le cahier des charges. Requête qui trouvera finalement écho auprès d’un soumissionnaire européen, dont l’offre a également été rejetée. Après lecture, il s’était avéré qu’un article de ce cahier des charges posait problème dans la mesure où il spécifiait clairement que «la première partie de la personnalisation des cartes peut être confiée à un prestataire de services à condition que cette opération soit réalisée en Algérie. Par première partie de la personnalisation on entend : la réalisation du masque et du microcircuit, la fabrication de la puce et son encartage sur la carte, les tests de conformité de la puce, la personnalisation par chargement de l’OS [masque] et de tous les outils d’administration et de sécurité […]». Pourtant, M. Xavier Chaney, président de région pour Gemalto, déclarait à IT Mag que le processus sous-entendu ici «se fera en France, dans nos usines de Paris […] et de Marseille». En parallèle, à en croire les dires de M. Touati, lors d’une précédente entrevue avec IT Mag, seule «la personnalisation de la carte se fera par la CNAS selon un équipement que lui fournira la partie contractante». Or, il est évident que les deux déclarations sont aux antipodes de ce qui est transcrit dans le cahier des charges. La lecture la plus correcte et la plus vraie du passage en question nous conduit naturellement à conclure que la «normalité des choses» commande que Gemalto installe une usine de production de cartes à puce en Algérie afin de rester conforme aux prescriptions du cahier des charges. Selon des indiscrétions, une lettre avait été envoyée il y a peu à tous les soumissionnaires leur signifiant que cet article avait été «annulé» vu l’impossibilité de satisfaire à cette exigence. Contacté au sujet de ce point, M. Chaney laissera le soin à Emanuelle Saby, chargée des relations publiques chez Gemalto, de nous répondre qu’«il est dans les intentions [de Gemalto] d’honorer [son] contrat en respectant le cahier des charges». Une compréhension cartésienne de la chose laisse penser que Gemalto, pour ne pas être en porte-à-faux avec le cahier des charges, doit construire une usine de fabrication de cartes à microprocesseur en Algérie. Un autre fait concerne le montant du projet. D’un coût d’à peu près 16 millions d’euros, celui-ci est très en deçà de la réalité sachant que la CNAS avait exigé une carte à puce intégrant les dernières technologies particulièrement en matière de cryptographie pour protéger les données qui y seront injectées. Une telle carte est vendue entre 1,8 et 2 euros l’unité, qu’il s’agit de multiplier par 7 millions, le nombre de cartes qui seront produites par Gemalto pour le compte de la CNAS. La seule alternative pour entrer dans ce prix aura été d’opter pour des cartes à puce avec un niveau de sécurité inférieure, c’est-à-dire qui coûterait entre 0,9 et 1,2 euro. Si tel est réellement le cas, il existe un grand risque de mettre à mal la confidentialité des données personnelles des citoyens. En tout cas, selon toujours M. Touati, c’est «l’algorithme cryptographique RSA», entre autres éléments et normes de sécurisation des données, qui est pris comme référence. Autrement dit, une carte à crypto-processeur à 2 euros. Enfin, dernier point, la certification et l’authentification des signatures lors du dialogue qui s’établit entre la carte à puce de l’assuré et le lecteur logique du professionnel de santé seront assurées par la CNAS. Comment est-ce possible sachant que ce l’on dénomme un «centre certificateur» ne peut, en aucun cas, être juge et partie dans l’étape d’établissement de la conformité des signatures électroniques, notamment lors de leur transit et, à voir les normes et standards internationaux régissant la création du centre certificateur, le «gardien du temple» est prononcé et autorisé à exercer par décret présidentiel, non encore existant en Algérie ? Mais encore une fois, M. Touati est demeuré… injoignable.-