Bonjour

C’est un communiqué sans précédent de la Commission nationale de l’informatique et des libertés (CNIL) : « SNIIRAM : la CNAMTS mise en demeure pour des manquements à la sécurité des données ». Un rappel à l’ordre qui sonne comme une menace collective.

Les sigles et autres acronymes ne doivent pas impressionner. Le « SNIIRAM » est le « Système national d’information inter-régimes de l’assurance maladie ». Il a été créé par la loi du 23 décembre 1998 et mis en œuvre par la « Caisse nationale de l’assurance maladie des travailleurs salariés » (« CNAMTS »). Objectif : contribuer à une meilleure gestion des politiques de santé.  L’affaire est d’importance, comme le souligne la CNIL :

« Cette base contient des milliards de données relatives à la santé des assurés sociaux (actes médicaux, feuilles de soins, séjours hospitaliers, etc.) auxquelles accèdent de très nombreux organismes : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé, des organismes de recherche, etc. »

Il y avait déjà eu, ici, un rapport de la Cour des comptes paru en 2016, et faisant état d’une « sécurité insuffisante des données du SNIIRAM ».  Aussi la CNIL a-t-elle conduit une série de contrôles auprès de la CNAMTS, de prestataires techniques et de caisses primaires d’assurance maladie. Or « les vérifications réalisées ont confirmé des manquements à la loi Informatique et Libertés en matière de sécurité des données ».

Levée du secret

Certes la CNIL n’a pas constaté « de faille majeure dans l’architecture de la base centrale » mais elle a relevé « plusieurs insuffisances de sécurité susceptibles de fragiliser le dispositif ». Ces insuffisances  portent notamment (excusez du peu…) sur la pseudonymisation des données des assurés sociaux (laquelle consiste à rendre plus difficile la ré-identification des personnes), sur les procédures de sauvegarde des données, sur l’accès aux données par les utilisateurs du SNIIRAM (en particulier l’insuffisante sécurité de leurs postes de travail) et par des prestataires. Conclusion :

« Compte tenu de ce constat, la Présidente de la CNIL a décidé de mettre en demeure la CNAMTS de prendre toute mesure utile pour garantir pleinement la sécurité et la confidentialité des données des assurés sociaux conformément aux exigences de l’article 34 de la loi Informatique et Libertés. La CNAMTS dispose d’un délai de 3 mois pour s’y conformer. »

Tout ceci aurait dû rester secret. Mais cette mise en demere a été rendue publique « au regard de la particulière sensibilité des données traitées, du volume des données enregistrées et du nombre important d’organismes habilités à y accéder ».

Pour l’heure l’Assurance Maladie fait profil bas tout en regrettant la publicité faite par la CNIL. Elle a répondu dans un communiqué que « des mesures de renforcement supplémentaires ser[aie]nt engagées »  notamment sur « l’utilisation de nouveaux algorithmes » pour la « pseudonymisation » des données.

« Le développement des usages et des innovations technologiques accroissent sans cesse le niveau d’exigence en termes de sécurisation des données. Pleinement consciente de ses responsabilités, l’Assurance Maladie a considérablement investi dans les politiques de sécurité informatique depuis plusieurs années. Elle poursuivra ces investissements afin de tenir compte de l’évolution régulière des risques et des technologies ».

 Pour l’heure aucune sanction n’est évoquée.

A demain