Sécurité des données : l’Assurance maladie taclée par la CNIL


  • Serge Cannasse
  • Univadis Actualités Médicales
L'accès à l'intégralité du contenu de ce site est reservé uniquement aux professionnels de santé disposant d'un compte. L'accès à l'intégralité du contenu de ce site est reservé uniquement aux professionnels de santé disposant d'un compte.

Le SNIIRAM (Système national d’information inter-régimes de l’assurance maladie) est une base contenant des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc). Géré par la CNAMTS (Caisse nationale d’assurance maladie des travailleurs salariés), c’est un outil précieux pour la conduite des politiques publiques. Élargi par la loi de modernisation du système de santé du 26 janvier 2016, son accès est ouvert à de nombreux organismes (caisses gestionnaires des régimes d’assurance maladie, agences régionales de santé, ministères, Institut national des données de santé, organismes de recherche, etc).

En octobre 2016, la Cour des Comptes avait fait état d’une sécurité insuffisante du système. La CNIL a en conséquence conduit une série de contrôles auprès de la CNAMTS, de prestataires techniques et de caisses primaires d’assurance maladie.

Elle n’a constaté aucune faille majeure dans l’architecture de la base centrale du SNIIRAM. En revanche, elle a relevé plusieurs « insuffisances de sécurité », portant notamment sur la pseudonymisation des données des assurés sociaux (dont le but est de rendre plus difficile l’identification des personnes), les procédures de sauvegarde des données, l’accès aux données par les utilisateurs du système (en particulier, la sécurité insuffisante de leurs postes de travail) et par des prestataires.

La CNIL donne trois mois à la CNAMTS pour « prendre toute mesure utile pour garantir pleinement la sécurité et la fiabilité des données des assurés sociaux . » Elle insiste pour dire qu’il ne s’agit pas d’une sanction, mais d’une simple mise en demeure. Ça n’est que si celle-ci n’est pas suivie d’effet que la CNIL entamera une procédure de sanction, conformément à sa mission (loi Informatique et libertés).

Dans sa réponse, la CNAMTS « prend acte des points soulevés par la CNIL . » Elle note qu’ils ne mettent pas en cause « les éléments fondamentaux de la sécurité du SNIIRAM », puisqu’aucune faille majeure n’a été constatée. Elle signale que des mesures de renforcement ont déjà été engagées, notamment dans le cadre de l’ouverture des données décidée par la loi du 16 janvier 2016, et rappelle que les données pseudonymisées de consommation de soins ne contiennent « ni les nom/prénom, ni les adresses, ni les numéros de Sécurité sociale des assurés. » Elle conclut en soulignant qu’elle est pleinement consciente de l’accroissement du niveau d’exigence en termes de sécurisation des données allant de pair avec le développement des usages et des innovations technologiques, comme le montre les investissements en sécurité informatique qu’elle a engagé depuis plusieurs années.